2024/11/28
资料图
日本政府将强制要求电力、自来水、医疗等重要基础设施运营方向国家登记其使用的IT设备及软件信息。以便在发现新的网络攻击手段时,立即告知运营方,防止危害扩大和社会发生混乱。
日本将在为实现能够预先防范对方攻击的“主动式网络防御”而完善相关法律时,建立新制度。日本政府的专家会议将把相关内容列入近期汇总的最终建议中。
随着云服务的普及和社会数字化程度的加深,看不见的网络攻击在质与量方面都变得越来越严重。
非法访问、勒索软件(Ransomware,索要赎金型病毒)等网络攻击经常针对设备的设计漏洞以及程序漏洞等进行攻击。此类漏洞每年都会公布约3万件,其中很小一部分会被网络攻击恶意利用。
2023年,日本名古屋港集装箱码头的系统遭到外部网络攻击并感染勒索病毒,导致集装箱装卸作业停滞3天。各地的医院也接连成为攻击目标,医疗服务的提供受到阻碍。
虽然信息通信、电力、金融等很早就推进信息化的行业和企业采取了应对措施,但地方的自来水、铁路、经营规模较小的新电力企业等被认为在网络安全投资方面缺乏余力。
IT设备登记的对象设想为基础设施企业所使用的服务器、通信设备、操作系统(OS)以及固件(Firmware,基础软件)等。
强制要求运营方进行登记,可起到促使运营方对设备及软件进行自主性管理及彻底更新的效果。如果日本政府发现新的漏洞,就能提醒使用相关设备及软件的具体企业多加注意。
2022年5月通过的日本《经济安全保障推进法》指定了“主要基础设施”的对象企业,由国家对企业是否妥善采取网络攻击应对措施等进行审查。其中包括东京电力控股、NTT docomo、日本邮政、JR东日本、三菱UFJ银行等各行业中达到一定规模的企业以及主要地方政府的自来水业务。此次强制要求登记的企业预计会与这些企业有一定重复。
日本政府正在参考海外的先进案例等加紧推进制度设计。比如澳大利亚,在法律上强制要求重要基础设施企业对其使用的设备及软件进行登记的,发现漏洞时,政府会共享风险信息,并敦促企业迅速采取应对措施。