部分医院未履行网络安全保护义务被处罚通报

发布者： 发布时间：2020-05-08

网警提示：网络运营者要切实履行网络安全保护义务，根据《网络安全法》的要求采取有效的网络安全防护措施，否则或将受到法律追究。拒不履行信息网络安全管理义务的，将可能构成刑事犯罪。

为深入推进“净网2020”和“平安荆楚行动”，丹江口市公安局网安大队积极加强网上巡查和应急事件处置，营造清朗的网络环境。4月19日，民警接上级公安机关线索通报，辖区某医院门户网站存在数据库高危漏洞。接到线索后，网安大队迅速组织警力，联合技术人员到该医院进行网络安全检查。经查，该医院网络安全部门对门户网站数据库敏感字符未屏蔽、对已知漏洞未及时修补，导致数据库注入检测时提示错误信息，存在极大网络安全隐患。民警立即要求该医院将网站临时关闭，断网整改，并函告整改情况。

根据调查结果，丹江口市公安局依据《中华人民共和国网络安全法》第二十一条、第五十九条的规定，给予该医院行政警告处罚，并责令限期整改。

2019年5月8日重庆永川某私立医院服务器突然陷入瘫痪，医院业务全面“停摆”，重庆永川公安接警后立即按照“净网2019”工作要求，启动网络安全应急响应预案，详细了解相关情况，在市公安局网安总队指导下，组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。经过民警和技术专家调查核实，该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。医院HIS、LIS、PACS、EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中，医院未安装边界防护设备、未安装日志行为审计设备，未设置数据安全备份策略等其他网络安全技术措施，使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。

针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照《中华人民共和国网络安全法》第五十九条之规定，对医院处以罚款一万元，对直接负责的主管人员处以罚款五千元的行政处罚。

2019年2月28日，岳阳网警获悉，市区某医疗美容医院门户网站遭到黑客入侵，网站页面被篡改，发布招嫖信息。岳阳网警闻警而动，立即开展调查。经查，该医院门户网站托管在广东第三方公司，因该网站服务器未采取安全防护技术措施，导致黑客用暴力破解方式获取了该网站后台管理权限，并插入了“后门”恶意程序。经远程勘验截图固定证据后，该案移交岳阳市公安局岳阳楼分局网安大队侦办。

该医院违反了《中华人民共和国网络安全法》第二十一条第二项、第二十五条之规定，构成“不履行网络安全保护义务”的违法行为。3月22日，岳阳市公安局岳阳楼分局依据《中华人民共和国网络安全法》第五十九条第一款，对该医院予以罚款人民币1万元整的行政处罚。