日本立法強化基礎設施安全

文·圖/姚虹聿

日本政府計劃通過加強立法，督促網絡、通信等重要基礎設施領域的企業承擔更多安全責任。

當地時間7月2日凌晨1時3 5分，日本電信運營商KDDI的移動通信服務系統發生故障，影響范圍涉及日本全國，語音通話和數據通信均中斷。日本埼玉市政府提醒市民：受故障影響，使用KDDI公司移動通信服務的用戶在撥打緊急求助電話時可能無法接通，呼吁市民在緊急情況下使用家中固定電話和公用電話。

據NHK報道，7月3日，KDDI就該公司發生通信故障一事表示，受到此次故障影響的用戶總數超過3100萬。經過修復，西日本地區于7月3日11時左右恢復正常通信；東日本地區于當日17時30分左右恢復正常通信。

針對關鍵基礎設施出臺新法

日本總務大臣金子恭之表示，這次通信系統故障屬于重大事故。政府在收到KDDI的正式報告后，將對該公司采取必要措施。

N H K指出，K D D I“撞到了槍口上”——日本政府正計劃通過加強立法，督促網絡、通信等重要基礎設施領域的企業承擔更多安全責任。

日本政府于6月17日在首相官邸召開“網絡安全戰略總部會議”，敲定了有關網絡、通信、電力和鐵路等重要基礎設施企業安全對策的新行動計劃。這是近5年來日本首次提出有關基礎設施安全的新行動計劃，其中明確了企業高層的責任，提出“如因不恰當對策造成損失，企業高層將被追究責任”。

這一新行動計劃是日本官民攜手強化網絡、通信等領域安全的指針。過去針對企業的要求僅停留在“期待高層實施對策”的層面。新計劃就重要基礎設施防護問題強調，“需要（包括高層在內的）整個組織機構參與應對”。日本政府要求根據企業的規模和特點，構建并保有高效的防護體系，并明確發生事故后的處理辦法和賠償方案等。新計劃已經啟動立法工作，針對14個關鍵基礎設施領域陸續出臺新的法律法規。

近年來，隨著電信運營商等日益依賴數字化技術進行操作和監控，網絡攻擊和信息泄露的可能性越來越大。遠程監測和控制技術在基礎設施領域擴大應用，使私營部門面臨很大的風險，比如植入服務器、路由器及其他設備的非法程序等。人們越來越擔心這些設備和服務造成數據泄露。日本政府希望減小設備和信息網絡遭受攻擊的風險，尤其擔心網絡、電信系統。

日本政府還計劃修訂針對上述行業的法律，增加新的條款，要求企業防范安全風險。政府將監督這些企業的合規情況，一旦出現重大問題，將暫?；虻蹁N其運營許可。詳細的操作標準在未來出臺的法律法規和行動指南中將有所闡述。

對于現代化網絡及通信系統來說，技術升級是非常頻繁的。但目前對于基礎設施運營商升級系統的操作，日本政府尚無要求它們評估安全風險的法律依據——這也是下階段的一個立法重點。

維修管理難度不小

據日本《讀賣新聞》報道，除了防范外部風險，日本各類基礎設施自身的問題也有待解決。

近年來，日本新干線車站、橋梁、隧道等基建設施事故頻發，存在不少安全隱患。有統計數據顯示，在日本全國約70萬座橋梁中，有2000座以上處于禁止通行狀態，近2400座因安全隱患實施交通管制，須修繕的“問題橋梁”占總數的三四成。雖然日本政府已經意識到問題的嚴重性，國土交通省專門成立“社會資本老朽化對策會”，制定了“基礎設施長壽化計劃”，但要全面實施維修管理，難度不小。

首先，日本經濟出現重金融、輕實體的傾向，公共設施建設、維護的重要性有所降低。據調查，到2033年，日本公路橋、隧道、水閘等設施迎來“五十大壽”的比例在60%左右。以目前的技術，到2033年的基礎設施維護管理和更新費用將為4.6萬億至5.5萬億日元。這還不包括用地費、補償費和災害修復費等。很多地方政府和部門都未編列這部分預算。

其次，地方和中央財政都面臨壓力。日本的絕大部分基礎設施主要由地方負責維護管理，但地方政府有70%左右處于“慢性財政困難”狀態，有約60%的地方政府認為，以現在的預算規模無法修繕所有基礎設施。

再次，人員和技術方面面臨困難。隨著老齡化和“少子化”的加重，日本的人口正在減少，大都市圈以外的地區更嚴重。許多地方政府的土木建設部門職員寥寥、技術能力不足，連日常檢修工作都難以保證，普遍感到“無力招架”。

為擺脫困境，日本政府不得不實施“緊急對策”，在2019—2021年每年投入3萬億日元，改造和修繕基礎設施。未來如何進一步解決這個問題，是日本政府必須考慮的。

須了解學習國外經驗

據日本《產經新聞》報道，日本政府和企業逐漸認識到將網絡、通信安全納入國家政策體系的重要性。日本在全球經濟中所扮演的角色，決定了日本政府、企業和學術專家須了解并學習國外的網絡、通信安全防護經驗。

在日本，大型企業回應國家政策（如網絡安全要求）的做法，將不可避免地影響整個行業。過去它們采取的做法是“等待政府監管機構下達指示”。

相較而言，美國的做法與之存在巨大差異。美國大型企業本著參與制定政策與監管對策的目的，長期以來一直通過公司的政策團隊或行業協會，主動公開地與政府機構接觸。美國的行業協會和特定企業，為參與公共政策對話準備了自己的議程及目標、重要技術、操作規范和政策抉擇等。

如今，鮮有日本公司在企業內部設立公共宣傳團隊。雖然企業部門以非正式方式進行溝通討論，但制定影響政府、日本大眾和社會、全球消費者和業務合作伙伴的政策的權力，仍主要掌握在政府監管機構手中。然而，監管機構往往缺乏私營部門所具備的技術和操作知識。

日本相關行業的被動態度給社會和經濟帶來的負面影響，在網絡、通信安全領域顯露無疑。網絡、通信具有互聯性，同時也存在諸多漏洞。日本相關企業須變被動為主動，鼓勵高層與政府共享技術和操作方法，以積極正面的態度為安全政策的制定作出貢獻。

由于日本9 0%的信息通信技術（ICT）資產歸行業所有（其余主要是個人家用設備），行業應當積極主動確保網絡空間安全。日本的私營部門和政府機構應當與其他國家合作，制定全球性的政策和標準，以解決跨國界的網絡安全問題。企業領導層須了解應該為信息安全、行業合作和公私合作所做的工作。

日本和其他國家的企業對首席信息安全官（CISO）的期望不同。只有63%的日本企業設立了這一職位，而美國和歐洲企業的這一比例分別高達95%和85%。

由于日本企業配備的信息安全專業人員不及美國企業多，再加上日本的企業文化通常不允許從外部招聘高管，所以像美國或歐洲企業那樣招聘并指定 CISO的做法，在日本的可行性較小?？紤]到日本的企業文化和管理模式，建設網絡安全團隊將是更加有效的方式。

日本眾多KDDI用戶受到通信中斷的影響