工程建设现在越来越依赖于科技,通过信息建模以及其他一体化通用数据环境,不仅保证日常运营的效率以及工地作业者的健康与安全,还可与业主、供应商及其他利害关系人保持更好的联系。然而,对于网络犯罪团伙而言,这些工程系统不仅本身是潜在的数据宝藏,还是其控制关键服务行业甚至窃取相关主体商业秘密的便捷通道。
法国巨头工程公司惨遭网络攻击
近日,法国布依格工程公司(Bouygues Construction)的电脑系统受到网络犯罪集团Maze勒索软件的非法攻击,导致其员工的个人信息,包括姓名、家庭住址、电话号码、社保账号、银行信息和药检结果等,均被公布在网上。为防止损害进一步扩大,布依格随后宣布将其所有的信息系统下线。无独有偶,此前一加拿大工程承包商也受到了Maze的攻击。这些不幸实例或可警示工程承包商,随着传统工程实践与科技不断结合,网络攻击已经成为不容忽视的新型风险。
网络攻击的严重后果
常见的网络攻击主要借助勒索软件,通过锁定及加密受害者的电脑或设备数据,再以公开数据或阻断网络访问威胁受害方,要求交付赎金。从过往案例看,支付赎金的企业更可能成为再次被网络攻击、勒索的对象。事实上,即便交付赎金,也无法保证网络罪犯们在收到赎金之后会将数据恢复原状。
对工程承包商而言,如果遭受网络攻击,可能不仅自身的信息和数据会被窃取,还有可能严重影响到正常的工程建设和运营。例如,分布式拒绝服务攻击软件(DOS)会使承包商无法处理数据从而截断对供应商的付款、以及给员工支付工资等。再者,关闭网络服务可能会使企业因无法参与项目投标而遭受巨大损失。事实上,对承包商的网络攻击并不必然针对其自身数据,也可能是为了获取系统存储的工程各方的数据,以进一步攻击工程其他各方。
如何进行风险管理?
建立内部预警、预防、应对制度
我们相信从技术层面提高安全指数是可靠的手段,但所谓“道高一尺魔高一丈”,即便安全系数最高的企业在强大有序的网络攻击之下也难以幸免。因而,不仅需要建立强大的技术保护,也需要在制度层面跟进预防。例如,提前做好预警、对相关网络攻击新闻和攻击手段保持敏感、快速监测、以便及时在技术层面布控;加强对员工网络安全培训;制定针对至少常见攻击事件类型的应对方案等。这些与技术层面的保护措施同样重要,双管齐下,方能在一定程度上降低被攻击或者被锁定为攻击目标的风险。
将网络攻击纳入工程合同风险分配的条款设计
在起草、谈判工程合同时,除传统风险的分配外,需要考虑网络攻击这一新型风险,将该风险纳入到相关条款设计中,比如关于文件的照管和提供、业主使用承包商文件、承包商使用业主文件、保密事项、风险与职责等条款。同时,相关的风险分配条款也要在与分包及供应商的合同的条款设计中考虑,以便“背靠背”传递给下游。
被网络攻击后,需要多角度评估可能后果,制定策略方案
如果不幸中招,如何尽可能保护自身合法权益、降低损失,是需要从不同角度综合审慎考量、评估。因为不仅要处理与网络攻击犯交涉的问题,也要处理网络攻击可能对工程执行的影响,以及对工程合同中相关数据保护、使用和保密等条款的违反认定及可能后果等。特别地,被网络攻击后,可能会有大量新闻报道,这可能会引起数据存储地相关监管机关的关注甚至进行合规调查等。
本文相关文章的英文版全文,请点击阅读原文。
如果您对此话题感兴趣或需要更多信息,请联系:
李浩明
合伙人
史密夫斐尔
Michelle.Li@hsf.com
Emma Schaafsma
合伙人
史密夫斐尔
Emma.Schaafsma@hsf.com
朱婧
资深律师
科伟史密夫斐尔
Jean.Zhu@hsfkewei.com
史密夫斐尔律师事务所是领先的全球一体化综合性律所,在全球各主要司法辖区设有27家办公室,拥有约3000位律师。本所根植大中华区市场30余年,北京、上海、香港三个办公室拥有强有力的律师团队,对中国的商业文化有着细致深入的体会和理解,为客户提供高效、优质的全方位法律服务。
史密夫斐尔与上海市自贸区的科伟律师事务所正式联营,通过科伟史密夫斐尔联营办公室 (Herbert Smith Freehills Kewei (FTZ) Joint Operation) 提供中国法及外国法服务。
