連載|網絡法典型案例評析——WannaCry勒索病毒事件

一、案例簡介

2017年5月12日， WannaCry勒索病毒通過MS17-010漏洞在全球範圍爆發，受到該病毒感染的磁碟文件資料都無法正常打開，只有支付價值相當於300美元(約合人民幣2069元)的比特幣才可解鎖。

英國、美國、中國、俄羅斯、西班牙和義大利等上百個國家的數十萬臺電腦被感染，其中包括醫院、教育、能源、通信、製造業以及政府等多個領域的計算機終端設備。有數據統計，該事件造成了80億美元的損失，對金融、能源、醫療等眾多行業，造成嚴重的危機管理問題。中國部分 Windows作業系統用戶遭受感染，校園網用戶首當其衝，受害嚴重，大量實驗室數據和畢業設計被鎖定加密。部分大型企業的應用系統和資料庫文件被加密後，無法正常工作，影響巨大。

相關連結:勒索軟體簡介

勒索軟體( Ransomware)，又稱勒索病毒，維基百科將其定義為一種特殊的惡意軟體，被歸類為阻斷訪問式攻擊，與其他病毒最大的不同在於手法。一種勒索軟體單純地將用戶的電腦鎖起來；另一種則系統性加密用戶硬碟上的文件。所有的勒索軟體都會使用戶數據資產或計算資源無法正常使用，要求用戶支付贖金以取回對電腦的控制權，或是取回用戶無從自行獲取的加密密鑰。勒索軟體編寫者還在繼續開發，導致勒索軟體在持續變種，2014年來針對 Android系統行動裝置的勒索軟體陸續出現。邁克菲實驗室（McAfeeLabs）預測，鑑於配電和醫療保健市場已經出現了物聯網設備被劫持的案例，勒索軟體隨時可能移植到物聯網領域。

在法律層面，2016年9月美國加州通過的參議院第1137號法案（Senate Bill No.1137-Chapter725），將勒索軟體定義為「未經授權的一種病毒，其將計算機病毒或鎖死程序放置或感染到計算機、計算機系統或計算機網絡中，限制已獲授權的用戶訪問計算機、系統、網絡及其所存儲的數據，從而要求用戶為其支付金錢或其他代價，以移除或通過其他方式修復該計算機病毒或鎖死程序，」基本著眼於授權角度，再次重申了技術上對勒索軟體的定義。

作為病毒的一種，勒索軟體的概念自20世紀90年代開始出現，但其加劇威脅源自2005年開始運用更加複雜的RSA加密手段和2013年開始利用比特幣等虛擬貨幣作為新的支付形式。暗網中已有越來越多的人提供勒索軟體作為服務，勒索軟體即服務（Ransomware-as-a-Service，RaaS）呈爆炸式發展趨勢。我國日漸成為勒索軟體泛濫的重災區，2015年開始蔓延，2016年開始強勢襲擊各大網際網路企業和個人用戶，成為企業和個人數據安全的重大威脅之一。

新近意義上的勒索軟體具有的主要特徵在於:一是採用了加密技術（例如RSA）實現對用戶系統、網絡的加密和解密，以及支付形式的密碼化（例如，比特幣）；二是直接損害信息或數據的可用性的同時，也不完全排除侵入，或在無法實現獲取贖金(財物)的「營利目的」時的竊取、破壞等危害保密性、完整性的行為，即其基于勒索行為實施的「成功」與否，決策如何進一步實施危害行為。如獲取贖金的，可能解密、解鎖，也可能竊取數據；如未獲取贖金的，則損毀、竊取數據或者披露用戶敏感信息;部分勒索實施行為甚至無論是否獲取贖金，均會竊取、損毀數據。

二、案例評析

WannaCry勒索病毒使網絡黑產勢力浮出水面，藉助暗網等一系列複雜技術的掩護，肆無忌憚地實施綁架勒索等網絡犯罪行為，對全球網絡空間安全的危害極大。雖然此次事件中，各種網絡安全專業力量響應很快，從不同角度不斷發布動態信息、處置指南和專用工具，有效減輕了事件的危害和潛在風險。但與此同時，該事件也暴露出我國在大規模網絡安全事件的應急響應和處置機制運轉中存在的不足：

第一， 儘管我國已經建立了網絡安全應急管理機制和管理體系，但仍舊缺乏有效的應急技術手段。即便是大型機構也存在明顯死角，應急措施無法有效執行。在發生「永恆之藍」勒索蠕蟲之類的大型攻擊事件時，國家應急機構由於不具備統一的網絡終端安全管理能力，無法匯集一線情況，基本上處於「閉著眼睛指揮作戰」的狀況，因而無力進行集中式應急管理和響應處置。

第二， 本次事件再次表明，終端是網絡攻擊的發起點和落腳點。終端安全在網絡安全體系中處於核心地位，終端安全軟體的國產化應上升為國家戰略。此次中國中招的用戶，大多是企業和機構用戶，企業和機構之所以被迅速傳染，則是因為不具備有效的終端防護措施。

第三，網絡安全建設投入嚴重不足。一直以來，我國在網絡建設上存在著重業務應用、輕安全防護的現象。我國網絡安全投資佔整體信息化建設經費的比例不足1%，和美國（15%）、歐洲（10%）等成熟市場存在巨大差距。

第四， 雲平臺的安全隱患需要高度重視。近年來，雲計算已經在政務、企業、金融、電信、能源等各大領域和行業廣泛應用，雲計算除了具有傳統的安全風險，也面臨新的安全威脅。國外的部分雲平臺提供商不願意對中國的網絡安全公司開放底層接口。

第五， 行業採購機制存在缺陷，導致網絡安全建設陷入低價、低質的怪圈，造成安全體系在遭遇網絡攻擊時不堪一擊。

第六，內網隔離不能一隔了之，隔離網不是安全自留地。多年來，我們強調內外網隔離的建設思路，認為網絡隔離是解決安全問題最有效的方式。但在現實中，網絡邊界越來越模糊，業務應用場景越來越複雜，隔離網邊界隨時可能被打破，內網如果沒有安全措施，一旦被突破，會瞬間全部淪陷。

第七， 網絡安全防護觀念落後。本次事件反映出，部分行業單位網絡安全防護缺乏體系化的規劃和建設，導致安全產品堆砌、安全防護失衡。傳統安全防護觀無法解決新技術帶來的安全風險，有必要轉變觀念，與專業化網絡安全公司合作，建立新型安全體系。

第八，日常建設和運營存在安全能力不足、意識淡薄、管理要求無法落實等多方面問題。對100家單位的調查表明，過半單位在近一年內未對系統進行全面風險評估及定期補丁更新，部分行業單位的業務部門與安全部門溝通不夠順暢，網絡安全管理措施落實不到位，安全工作有盲區，為大規模網絡安全事件的爆發提供了可乘之機。

三、相關法律問題思考

在網絡安全發實施前夕，WannaCry勒索病毒事件給我國網絡安全法律治理敲響了警鐘。在現行法律機制下，對於WannaCry之類的勒索軟體應如何規制、有何監管難點以及未來的應對之策均值得關注。

（一） 勒索軟體的法律規制

勒索軟體造成的數據安全威脅成為各國共同面臨的挑戰。目前，「No More Ransom!（停止勒索）」協作計劃、反勒索軟體技術的發展和持續執法行動正在全球開展。

國際上，2016年9月美國加州通過參議院第1137號法案（Senate Bill No.1137-Chapter725），在法律層面明確了實施勒索軟體行為的刑事責任，規定如果某人以獲取錢財或其他利益為目的，直接放置或感染勒索軟體，或者指示、引誘他人這樣做，從而能將勒索軟體感染到計算機、計算機系統或計算機網絡中，在獲取利益後為受感染者提供一處或其他方式的恢復服務的，那麼此人將為該勒索軟體負責，視情節被處以二至四年不等的監禁。

我國現行法律沒有針對勒索軟體的專門性規定，但針對製作傳播計算機病毒、敲詐勒索、信息網絡技術支持和幫助等危害網絡安全方面的法律規定相當完善。2000年《計算機病毒防治管理辦法》明確規定任何單位和個人不得製作、傳播計算機病毒，並規定了相應的警告、罰款、沒收非法所得等行政處罰；刑法第274條規定了敲詐勒索罪，並在《最高人民法院、最高人民檢察院關於辦理敲詐勒索刑事案件使用法律若干問題的解釋》中對量刑標準和提供網絡技術支持幫助，規範為他人信息網絡犯罪提供技術支持和幫助的行為；刑法第285條規定了非法侵入計算機系統罪、非法獲取計算機信息系統程序、非法控制計算機信息系統罪和提供侵入、非法控制計算機信息系統數據、工具罪；刑法第286條將計算機病毒作為破壞性程序的一種，並在《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中界定了破壞性程序的範圍；刑法第287條之一規定了非法利用信息網絡罪；治安管理處罰法第29條規定故意製作、傳播計算機病毒等破壞性程序，影響計算機信息系統正常運行的，可予以拘留；網絡安全法第27條、第63條強調禁止從事危害網絡安全的活動，旨在實現行刑銜接，規定了拘留、罰款、沒收違法所得等行政處罰。勒索軟體作為計算機病毒的一種，勒索軟體實施的危害行為涉嫌違法犯罪的理應屬於以上法律法規規制的範圍。

(二)勒索軟體的監管困境

目前，我國司法實踐中已有與勒索軟體相關的司法判例。截至2017年全國已經公布的判決，採取勒索軟體形式實施犯罪的刑事判決共計8例，其中以「敲詐物索罪」和「破壞計算機信息系統罪」判決的案例各有4例。雖然已有立法及司法實踐，但仍需要注意的是，對于勒索軟體，監管方面仍存在諸多難題。

首先，境外執法難。鑑於此類案件的始作俑者往往身處境外，如何進行司法協助甚至司法合作將是未來研究的重點，不難預見，類似的跨國跨境類網絡犯罪在未來將比肩恐怖犯罪成為全球公敵。

其次，源頭打擊難。勒索軟體等計算機病毒的「傻瓜化」製作過程和高額贖金暴露了犯罪低成本、高收益的反比特性、使得黑色市場的專業化、精細化、技術化發展趨勢越發明顯。以美國執法機構為代表的政府利用漏洞進行情報獲取或政治攻擊的行為，不斷刺激黑客對漏洞的非法挖掘、披露和交易，加上不健全的規範機制，為勒索軟體的產生提供了源動力。此外，伴隨著區塊鏈等加密技術在製作、支付等領域的普遍應用和不斷升級，從源頭上發現並阻斷勒索軟體行為變得異常艱難，同時伴隨著暗網的潛滋暗長，未來提供類似勒索軟體和「勒索拒絕服務」的「灰黑色」服務群體也會在高額回報的驅動下不斷擴張。

最後，司法取證難。勒索軟體的主要支付方式為虛擬貨幣。但從現實情況來看，各國對虛擬貨幣的監管缺乏統一規則，為勒索軟體的全球網絡變現提供了機會，這也是各國立法差異和未建立有效國際合作模式問題的集中體現。全球虛擬貨幣監管路徑尚在不斷探索和調整過程中。2013年年底中國人民銀行等五部委發布的《關於防範比特幣風險的通知》明確比特幣為特定的虛擬商品，以嚴格區別於數字貨幣並適用不同監管機制。在據稱「全球超過90％的交易量都發生在中國」的2017年，央行加強了現場調查並明確提出「四不準」規定：不得違規從事融資融幣等金融業務，不得參與洗錢活動，不得違反國家有關反洗錢、外匯管理和支付結算等金融法律法規，不得違反國家稅收和工商廣告管理等法律規定。為了打擊恐怖主義襲擊中的虛擬貨幣使用，歐盟於2016年擴大了反洗錢規定的實施範圍，美國則在一些法院判例中為比特幣的發行貨幣化提供了長期路徑。這使得執法機構無法追蹤資金流向加之以病毒自身的傳播特性和數據刪除後無法恢復等特點，勒索軟體案件的執法取證將面臨重重阻礙。

（三）勒索軟體的防控策略

勒索軟體給網絡安全帶來了巨大的威脅，為有效防治勒索軟體，需要採取諸多措施:

其一，完善法律體系，形成犯罪防控的長效機制。我國這方面的立法雖然已經制定了網絡安全法，刑法修正案（九）也對信息網絡犯罪的進行了專門規制，增設了拒不履行網絡安全管理義務罪、非法利用信息網絡罪和幫助信息網絡犯罪活動罪三個新罪名。但總體而言，我國關於網絡犯罪的立法相對薄弱，特別是與國外有關網絡犯罪的相關法律相比，在立法模式、罪名設置、保護範圍、刑罰配置等方面都有一定差距。因此，針對這類犯罪高發的態勢，有必要探討其犯罪的特點和規律，分析犯罪防控的困境，有針對性地構建網絡防控體系，制定防控策略，提升針對以勒索軟體為主要對象的網絡犯罪整體防控效能。具體來看，包括健全法律基礎，明確網絡管理相關單位的職責任務，解決多頭管理、職能交叉的問題；及時細化網絡安全法條目，增強法律的操作性、提高執行力。此外，還需要通過立法明確網際網路接入服務、內容服務、信息服務等各個環節、相關機構的責任和義務，並分別制定詳細、獨立的罰則，對不嚴格落實安全管理和安全技術措施應承擔的相關法律責任。對存在不良信息、清理整治不及時、違法有害信息高發頻發的聯網單位和系統運營單位要通過公開警示、通報、約談和處罰等層層遞進的執法手段進行管理，實現「有法可依、有法必依」的依法防控環境。

其二，切實落實網絡安全法規定的網絡安全保障義務，包括網絡安全等級保護制度、關鍵信息基礎設施保護制度、網絡安全應急響應制度等規定的義務。強化安全意識，完善網絡安全建設，有效提升網絡犯罪防禦能力，將網絡安全納入日常工作業務中。這次WannaCry勒索軟體事件中，微軟公司己經於3月發布了嚴重漏洞公告和系統補丁，但是國內還是有不少機構和個人電腦感染病毒，說明相當一部分對基礎安全服務不夠重視，沒有做好基礎安全建設。因此，政府、行業組織在網絡犯罪防禦體系建設中，要大力開展聯網單位備案、安全技術保護措施檢查等基礎性工作。網際網路公司、網絡服務提供單位需要強化安全意識，不斷完善自身安全建設，採取相應的技術與管理措施，實現事前積極防禦、事中監測與監控、事後應急與處置，有效提升自身的網絡犯罪防禦能力。通過開展多層級網絡安全監測、組建應急處置隊伍、制定應急預案、開展應急演練等工作提高監測、預警、處置能力，做到對網絡安全隱患有效防範，對網絡安全事件提早發現、及時處置；組織重點保障單位開展網絡信息安全綜合演練，搭建網絡攻擊演習環境，磨合應急處置機制，做好應急處置準備，確保一旦發生信息安全事件，能夠快速妥善處置，將影響和損失降到最低。

本文轉自《網絡法典型案例評析》