日IoT设备新规定
2020起需提供资安防护机制与作为
物联网(IoT)普及带来新的资安问题,在中国台湾资安大厂趋势科技(Trend Micro)日本分公司为首的资安企业警示下,日本总务省在2019年1月25日公布新的网络相关规定,要求自2020年4月起,日本上市的物联网相关外围与终端设备,需有相应的资安防护作为,而且政府将不定期检查。检查一事立即在日本引发争议,因为日本政府要使用类似黑客的手法入侵,部分人士因而认为这是政府以黑客为借口,替自身的黑客行为合理化;但另一部分人士则认为这是该做的事情,过去政府要求厂商自律,但置若罔闻的厂商并不少,成为日本社会严重漏洞,就应由政府处理,才能确保资安。
日本总务省的做法,是提出修改国立研究开发法人情报通信研究机构法中,附带条款的第8条第2项业务实施部分,要求设备业者或使用业者有调查针对特定通信埠(Port)或特定连线行为,并作成电子纪录的义务,同时还要不定期更换密码与防护方式,政府可在必要时给予支援。目前物联网资安问题的大宗,在采购设备时使用厂商通用密码不加修改,或是使用诸如12345之类容易猜测的密码,这类问题在PC上也有,但与使用者经常会亲自使用的PC不同,物联网设备常是安装后就摆着多年不再检查,当遭到黑客入侵或植入病毒时,更难察觉。
而日本政府的要求,就是管理单位建立与这些网络设备的常态连接,定期更换防护软件,并且不能使用过去大规模资安事件时最常见的100种密码,还有发生重大事件时,如3万用户连续12小时以上有使用障碍、或超过100万用户有2小时以上使用障碍时,立即向日本总务省报告等。
由于离正式实施还有14个月的时间,厂商有足够时间采购新设备、订购新资安服务、以及查询现有设备的改善方式,日本总务省也打算设立专属对应窗口,让厂商有时间询问应对方式。虽然总务省的行政命令还有修改的可能性,但这无疑是资安相关厂商的商机,同时也值得中国台湾地区的企业参考。(新闻来源:Digitimes)
往期精彩推荐
领取专属 10元无门槛券
私享最新 技术干货