近日,云南省大理白族自治州公安机关成功侦破一起利用医疗机构基础设施实施电信网络诈骗的新型犯罪案件,该案暴露出事业单位在网络安全防护体系中的薄弱环节。
案情显示,洱源县某医院配电室内电话线路被非法安装诈骗设备。
大理州公安机关通过跨区域协作,在巍山县将正在流窜作案的犯罪嫌疑人周某、倪某抓捕归案。
经查,两名嫌疑人通过突破医院物理安防措施,在未受监管区域架设非法通讯设备,为境外诈骗团伙提供技术支持。
依据《反电信网络诈骗法》,公安机关已对二人作出行政拘留、罚款及没收违法所得的处罚。
值得关注的是,涉事医院因未履行法定网络安全保护义务被同步追责。
根据《网络安全法》规定,该院未落实等级保护制度要求,在机房管理、出入控制等基础防护环节存在重大疏漏。
公安机关依法对该机构作出行政处罚,成为云南省首例因网络安全防护不力被追责的医疗机构案件。
业内人士分析,此案反映出当前网络安全防护中的三个突出问题:一是部分单位重技术防护轻物理安防;二是基础设施运维区域管理缺位;三是异常接入监测机制失灵。
数据显示,2023年全国医疗机构发生的网络安全事件中,约34%与物理安防漏洞直接相关。
针对这一新型犯罪态势,网络安全专家提出三项建议:首先,关键区域应部署生物识别等智能门禁系统,建立出入审计日志;其次,对通讯设备实施"白名单"管理,定期扫描非法接入设备;最后,与公安机关建立网络安全联防联控机制,实现异常信号实时预警。
公安部网安局相关负责人表示,将开展为期三个月的医疗机构网络安全专项整治,重点核查配电室、机房等附属设施的安全管理情况。
同时正在修订的《关键信息基础设施安全保护条例》拟增设物理环境安全专项条款,进一步压实运营单位主体责任。
案件警示,电信网络诈骗之所以屡禁不止,很大程度上源于其善于利用管理薄弱环节与基础设施盲区。
依法严打是底线,更关键的是把责任压到位、把制度落到位、把漏洞堵到位。
对公共服务单位而言,守住机房门、看好每一条线路、管住每一次接入,既是遵法守规的应有之义,也是维护群众安全感与公共信任的必要之举。