原标题:日本要用3大资安对策迎战2020奥运会
睽违56年后,东京将再次主办2020年的夏季奥运。日本政府全体动员,由上而下推动网路安全基本法,直接拉高资安战略单位的层级。
图片来源:国际奥委会IOC
去年夏天在里约举办的奥林匹克运动会刚结束,目光又聚焦到2020年的东京奥运上。而对网路犯罪者来说,夏季奥运的规模是其他活动都望尘莫及的,它将汇聚全球的运动狂热者,更是每个国家都关注的运动盛事,也因此奥运轻易地成为网路犯罪份子的攻击目标。
距离上次日本主办奥运时隔56年,日本首相安倍晋三2015年在「网路安全战略」草案制定之时就表示,政府在奥运上将全力阻止网路恐怖主义,以确保万无一失。日本政府自从奥林匹克委员会宣布,由日本揽下2020年的主办权后,也顺势推出一连串的资安策略,从政策面上直接重整网路安全的体质,更从3大方向着手进行防御工作。
日本国家资讯安全中心(NISC)秘书长Mitsuaki ASHIDA日前来台,在台湾骇客年会上,发表日本因应2020年奥运的第一手资安策略。
他透露,日本在资安策略上,首重物联网安全、保护关键资讯基础建设以及人才培育,用3大策略力求稳健地执行奥运活动。
推动网路安全基本法,拉高资安层级与意识
日本自2005年即设有国家资讯安全中心(National Information Security Center,NISC)以及资讯安全政策委员会(Information Security Policy Council,ISPC),这两者负制定资安相关的政策以及政府的年度资安规划。两者皆隶属在IT战略总部(IT Strategy Headquarter)之下。
不过,日本政府为了提升资安层级,在10年后,于2015年正式推动网路安全基本法(The Basic Act)。「网路安全基本法最主要的核心目标就是制定资安相关决策,指定由谁来负责,这些单位又要做哪些决策,将任务划分清楚。」Mitsuaki ASHIDA说道,在网路安全基本法上路后,原本隶属于IT战略总部的NISC,改为直属于内阁管辖,并将名称增为:国家资安事件整备与战略中心(National Center of Incident readiness and Strategy for Cybersecurity,缩写同为NISC),成为一个独立运作的内阁单位。
ISPC也转成为网路安全战略总部(Cybersecurity Strategy Headquarter),与IT战略总部以及国家安全委员会(NSC)密切合作,并居中协调事务。总部的主掌人则是由内阁秘书长担任。
除了组织上的调整,网路安全基本法也将网路安全战略总部的权限大幅提升。在法案推动之前,所有网路资安的运行,要通过政府各单位的同意,并且採自律方式进行审核,无法準确落实。
现在则是强制各政府单位要向总部稟报资安相关问题,总部也会向各单位送出正式的资安建议。NISC则要协助各政府单位落实网路安全的审核,也要在发生重大资安事件时,第一时间介入调查,相较过去协助调查的角色,NISC权限可说提昇不少。
最重要的是,日本在网路资安策略的落实,有显着的效益。过去资安策略只有绑定ISPC委员会成员,也无任何强制的执行力,但在网路安全基本法后,所有的网路资安策略是属于内阁的命令,因此可以将权力拓展到各个政府单位。
2020年的网路安全战略三对策:物联网、关键基础建设以及人才招募
在2015年5月揭示的日本网路安全战略(Cybersecurity Strategy)草案中,强调要建立并发展一个公正、安全的网路空间,并且持续增强经济与社会的活力,提供市民一个和平与安全的社会、维护国际和平等。其中也包含要求各单位协力,全力在2020年的东京奥运上展现成果。
而Mitsuaki ASHIDA强调,日本在2020年的奥运的资安建置上,有三大重点项目,分别是安全的物联网(IoT)、保护关键资讯基础建设(Critical Information Infrastructure Protection,CIIP)以及人才招募(Human Resource)。
他透露,现阶段日本正在发展物联网系统,在建置的过程必须考量安全性的问题。要促进物联网安全,日本政府祭出多项规範与安全标準,包括要求厂商在研发物联网功能时,要同等注重机密性、整合性、可用性以及安全性。也要求在资安事故发生时,有一套安全的备援措施,并且明订事件发生后的责任归属。
与此同步进行的是调整公私部门的资安心态。Mitsuaki ASHIDA表示,要把资安是耗费「成本」的概念扭转为是一种「投资」。并且要在高级管理阶层散布资安管理的意识,鼓励他们对市场公开他们的资安成果。更辅导公私部门之间的资安讯息分享。也藉此,建立起一个更优质、安全的商业环境。
第二个方向,则是要扎实地打下2020年奥运的资安防御基础,Mitsuaki ASHIDA表示,日本将2015年5月日本年金机构受到攻击的事件视为一个警惕,并藉机进行资安教育。「去年年金机构遭骇,125万的个人资料外洩,我们就藉此好好教育管理阶层。」包括二方面的作法,分别是意外处理流程以及强化网路安全的系统。
在年金系统遭骇的事件中,政府发现处理程序不足够面对这样大规模的攻击,而且资安系统无法即时的连网。为避免再度遭受类似的网路攻击,政府特别强化事件处理流程以及风控能力。此外,在网路安全基本法中设下更高的网路安全的基本标準,让各部门去遵循、优化自身系统。
而保护关键资讯基础建设就是其中的重点环节,由NISC居中扮演公私部门统整的角色,「由NISC先定出13项优先锁定的关键基础建设。」Mitsuaki ASHIDA表示,在关键资讯基础建设涉及5个公部门以及多个组织单位,维运人员必须共同合作,来维繫及保护基础建设的安全,强化资讯的分享的能力,制定多元的资讯传送格式,并且将事件依据严重程度进行分类。
此外,更要强化事件发生的反应速度(Incident Response,IR)、提高风险管理能力,这仰赖持续的训练。最终就是要让资讯基础建设运行不坠,特别是2020年东京奥运势必会面临不少网路攻击,日本希望可以即时处理并应对大型的网路攻击事件。
最后一项关键项目,则是人才培育。2016年3月份,网路安全战略总部基于日本复甦计画以及网路安全战略,制定了网路安全人才培育发展计画,要在2017年3月有更详尽的细节。主要是在政府、企业以及学界三者间培育并媒合资安人才。目标是建立起一个良善、人力供需平衡的生态圈。
除了改造管理阶层人员的资安心态外,要设立一个人才与企业的中介层,中介者必须熟知网路安全领域以及市场,并且有能力将人才及企业媒合。
此外,更要从教育端着手,在明确知悉日本市场需要什幺类型的人才后,直接从大学教育的现场里,建构网路安全教育的体系,来增强网路安全的知识能力。重点是,日本提倡实作能力,让有兴趣的人才可直接接触网路安全攻击,进而具备防御的实战经验。
日本更打算在2017年3月设立资讯安全处理主管(Information Processing Security Assurance Assistance Officer),更发下豪语,要在2020年东京奥运前,培育出3万名及格的网路安全人力。
「就像你在民间组织,上级主管说要拉高安全层级,下面的员工就会想尽办法达标,现在日本就是由政府下达命令。」Mitsuaki ASHIDA表示,关键在于透过网路安全基本法的推动,将网路安全视为国家稳健发展的要项,也因此,才有办法动员整个政府部门正视网路安全的议题,从而能够将资安观念落实到每个政府角落。
日本国家资讯安全中心秘书长Mitsuaki ASHIDA在台湾骇客年会上,发表日本政府为了因应2020年的东京奥运,所做的一系列资安战略。
相关:
看好轨道商机,日本排队名店“宫武赞岐乌龙面”今天进驻微风台北车站,强打独家外带牛丼便当;统一时代百货则打造“早餐一条街”轨道激战,抢攻通勤族“快食尚”商机。“人潮就是钱潮”,台北车站每日转运人潮逾70万
【环球时报驻日本特约记者 李珍 环球时报记者 范凌志】为处理与中国围绕钓鱼岛问题可能发生的紧急事态,日本政府决定在今年夏季前拟定《统和防卫战略》作为自卫队的应对方针。据日本《读卖新闻》6日报道,日本设想中
(优活健康网记者徐平/综合报道)当发现罹患癌症时,许多病人除了担心身体状况之外,还会担心化疗效果、副作用不佳对身体造成的负荷太大,首次化疗病人內心常惶恐不安,而究竟哪些药物有交互作用,日常生活又该如何
在美国准总统川普(Donald Trump)批评日本丰田汽车公司(Toyota Motor Corp)的墨西哥设厂计划之后,日本政府今天(6日)表示,丰田在美国是重要的企业公民。日本政府发言人、內阁官房长官菅义伟(Yoshihide Suga)今天在例
近日徐若瑄的老公李云峰的集团面临破产,资金缺口高达11.5亿人民币,一年内必需偿还债务约9亿人民币!早已退出娱乐圈的徐宣不得不复出参加各种商业演出,还顺便把自己的儿子带上,一起捞钱,不过一年赚九亿也不是那么