睽違56年後,東京將再次主辦2020年的夏季奧運。日本政府全體動員,由上而下推動網路安全基本法,直接拉高資安戰略單位的層級。

圖片來源: 

國際奧委會IOC

去年夏天在里約舉辦的奧林匹克運動會剛結束,目光又聚焦到2020年的東京奧運上。而對網路犯罪者來說,夏季奧運的規模是其他活動都望塵莫及的,它將匯聚全球的運動狂熱者,更是每個國家都關注的運動盛事,也因此奧運輕易地成為網路犯罪份子的攻擊目標。

距離上次日本主辦奧運時隔56年,日本首相安倍晉三2015年在「網路安全戰略」草案制定之時就表示,政府在奧運上將全力阻止網路恐怖主義,以確保萬無一失。日本政府自從奧林匹克委員會宣布,由日本攬下2020年的主辦權後,也順勢推出一連串的資安策略,從政策面上直接重整網路安全的體質,更從3大方向著手進行防禦工作。

日本國家資訊安全中心(NISC)秘書長Mitsuaki ASHIDA日前來臺,在臺灣駭客年會上,發表日本因應2020年奧運的第一手資安策略。

他透露,日本在資安策略上,首重物聯網安全、保護關鍵資訊基礎建設以及人才培育,用3大策略力求穩健地執行奧運活動。

推動網路安全基本法,拉高資安層級與意識

日本自2005年即設有國家資訊安全中心(National Information Security Center,NISC)以及資訊安全政策委員會(Information Security Policy Council,ISPC),這兩者負制定資安相關的政策以及政府的年度資安規劃。兩者皆隸屬在IT戰略總部(IT Strategy Headquarter)之下。

不過,日本政府為了提升資安層級,在10年後,於2015年正式推動網路安全基本法(The Basic Act)。「網路安全基本法最主要的核心目標就是制定資安相關決策,指定由誰來負責,這些單位又要做哪些決策,將任務劃分清楚。」Mitsuaki ASHIDA說道,在網路安全基本法上路後,原本隸屬於IT戰略總部的NISC,改為直屬於內閣管轄,並將名稱增為:國家資安事件整備與戰略中心(National Center of Incident readiness and Strategy for Cybersecurity,縮寫同為NISC),成為一個獨立運作的內閣單位。

ISPC也轉成為網路安全戰略總部(Cybersecurity Strategy Headquarter),與IT戰略總部以及國家安全委員會(NSC)密切合作,並居中協調事務。總部的主掌人則是由內閣秘書長擔任。

除了組織上的調整,網路安全基本法也將網路安全戰略總部的權限大幅提升。在法案推動之前,所有網路資安的運行,要通過政府各單位的同意,並且採自律方式進行審核,無法準確落實。

現在則是強制各政府單位要向總部稟報資安相關問題,總部也會向各單位送出正式的資安建議。NISC則要協助各政府單位落實網路安全的審核,也要在發生重大資安事件時,第一時間介入調查,相較過去協助調查的角色,NISC權限可說提昇不少。

最重要的是,日本在網路資安策略的落實,有顯著的效益。過去資安策略只有綁定ISPC委員會成員,也無任何強制的執行力,但在網路安全基本法後,所有的網路資安策略是屬於內閣的命令,因此可以將權力拓展到各個政府單位。

2020年的網路安全戰略三對策:物聯網、關鍵基礎建設以及人才招募

在2015年5月揭示的日本網路安全戰略(Cybersecurity Strategy)草案中,強調要建立並發展一個公正、安全的網路空間,並且持續增強經濟與社會的活力,提供市民一個和平與安全的社會、維護國際和平等。其中也包含要求各單位協力,全力在2020年的東京奧運上展現成果。

而Mitsuaki ASHIDA強調,日本在2020年的奧運的資安建置上,有三大重點項目,分別是安全的物聯網(IoT)、保護關鍵資訊基礎建設(Critical Information Infrastructure Protection,CIIP)以及人才招募(Human Resource)。

他透露,現階段日本正在發展物聯網系統,在建置的過程必須考量安全性的問題。要促進物聯網安全,日本政府祭出多項規範與安全標準,包括要求廠商在研發物聯網功能時,要同等注重機密性、整合性、可用性以及安全性。也要求在資安事故發生時,有一套安全的備援措施,並且明訂事件發生後的責任歸屬。

與此同步進行的是調整公私部門的資安心態。Mitsuaki ASHIDA表示,要把資安是耗費「成本」的概念扭轉為是一種「投資」。並且要在高級管理階層散布資安管理的意識,鼓勵他們對市場公開他們的資安成果。更輔導公私部門之間的資安訊息分享。也藉此,建立起一個更優質、安全的商業環境。

第二個方向,則是要紮實地打下2020年奧運的資安防禦基礎,Mitsuaki ASHIDA表示,日本將2015年5月日本年金機構受到攻擊的事件視為一個警惕,並藉機進行資安教育。「去年年金機構遭駭,125萬的個人資料外洩,我們就藉此好好教育管理階層。」包括二方面的作法,分別是意外處理流程以及強化網路安全的系統。

在年金系統遭駭的事件中,政府發現處理程序不足夠面對這樣大規模的攻擊,而且資安系統無法即時的連網。為避免再度遭受類似的網路攻擊,政府特別強化事件處理流程以及風控能力。此外,在網路安全基本法中設下更高的網路安全的基本標準,讓各部門去遵循、優化自身系統。

而保護關鍵資訊基礎建設就是其中的重點環節,由NISC居中扮演公私部門統整的角色,「由NISC先定出13項優先鎖定的關鍵基礎建設。」Mitsuaki ASHIDA表示,在關鍵資訊基礎建設涉及5個公部門以及多個組織單位,維運人員必須共同合作,來維繫及保護基礎建設的安全,強化資訊的分享的能力,制定多元的資訊傳送格式,並且將事件依據嚴重程度進行分類。

此外,更要強化事件發生的反應速度(Incident Response,IR)、提高風險管理能力,這仰賴持續的訓練。最終就是要讓資訊基礎建設運行不墜,特別是2020年東京奧運勢必會面臨不少網路攻擊,日本希望可以即時處理並應對大型的網路攻擊事件。

最後一項關鍵項目,則是人才培育。2016年3月份,網路安全戰略總部基於日本復甦計畫以及網路安全戰略,制定了網路安全人才培育發展計畫,要在2017年3月有更詳盡的細節。主要是在政府、企業以及學界三者間培育並媒合資安人才。目標是建立起一個良善、人力供需平衡的生態圈。

除了改造管理階層人員的資安心態外,要設立一個人才與企業的中介層,中介者必須熟知網路安全領域以及市場,並且有能力將人才及企業媒合。

此外,更要從教育端著手,在明確知悉日本市場需要什麼類型的人才後,直接從大學教育的現場裡,建構網路安全教育的體系,來增強網路安全的知識能力。重點是,日本提倡實作能力,讓有興趣的人才可直接接觸網路安全攻擊,進而具備防禦的實戰經驗。

日本更打算在2017年3月設立資訊安全處理主管(Information Processing Security Assurance Assistance Officer),更發下豪語,要在2020年東京奧運前,培育出3萬名及格的網路安全人力。

「就像你在民間組織,上級主管說要拉高安全層級,下面的員工就會想盡辦法達標,現在日本就是由政府下達命令。」Mitsuaki ASHIDA表示,關鍵在於透過網路安全基本法的推動,將網路安全視為國家穩健發展的要項,也因此,才有辦法動員整個政府部門正視網路安全的議題,從而能夠將資安觀念落實到每個政府角落。

日本國家資訊安全中心秘書長Mitsuaki ASHIDA在臺灣駭客年會上,發表日本政府為了因應2020年的東京奧運,所做的一系列資安戰略。


Advertisement

更多 iThome相關內容