Japán egy új szabályozási tervezet megkövetelné a kritikus infrastruktúrák üzemeltetőitől, hogy a nemzetbiztonsági szempontokat kötelező érvénnyel vegyék figyelembe a külföldön gyártott berendezések beszerzésénél. A Nikkei Asia beszámolója szerint az új törvény apropója a Colonial Pipeline elleni ransomware-támadás, ami május elején működésképtelenné tette az Egyesült Államok egyik leghosszabb és legfontosabb olajvezeték-hálózatának üzemeltetőjét, és világszerte ismét ráirányította a politikai szereplők figyelmét a kiberbiztonság kérdéseire.

Az ilyen támadásokban rejlő lehetőségek az utóbbi évek során folyamatosan növekedtek, ahogy az infrastruktúra-üzemeltetők is egyre nagyobb mértékben támaszkodnak a digitális technológiákra a rendszerek működtetésében és felügyeletében. Japán most gyors tempóban igyekezne mérsékelni a kompromittált eszközök és csatlakozások kockázatait, különösen a kínai gyártmányú távközlési berendezésekkel összefüggésbe hozozz adatszivárgások lehetősége miatt.

A kormány 2022 végéig akarja frissíteni az összesen 14 kategóriába sorolt, kritikus jelentőségűnek minősített ágazatok beszerzéseire vonatkozó szabályokat, a telekommunikációs és elektromos hálózatok mellett ide értve a pénzügyi, a vasúti és az egészségügyi területet vagy a kormányzati szolgáltatásokat is. A szigorúbb követelmények kiterjednek majd a külföldi adatközpontok használatára, sőt a tengerentúli partnerekkel való együttműködésekre is az ügyfélinformációk kezelésében.

Az állam önmagában kevés ehhez

A hatóságok a Nikkei Asia értesülései alapján a piaci cégeknél is folyamatosan ellenőrizni fogják a szabályok betartását, vitatott esetekben pedig felfüggesztik vagy vissza is vonják azok működési engedélyét – ennek részleteit a később megalkotott kormányrendeletek és ajánlások fogják meghatározni. A dolog lényege, hogy az új szabályozás értelmében már nem csak az állami beszerzések esetében érvényesítenék a nemzetbiztonsági szempontokat, mint ahogy az világszerte számos országban gyakorlattá vált a digitális rendszerek esetében is.

Maguk a japánok három évvel ezelőtt döntöttek úgy, hogy az állami beszerzésekből kizárják a kockázatosnak ítélt szállítókat, így például a kínai Huaweit és a ZTE-t, ezeket a megszorításokat pedig a friss tervek szerint a magánszektorra is kiterjesztik a kritikus infrastruktúra vonatkozásában. Hasonló korlátozásokat korábban az Egyesült Államokban is bevezettek, hol a kínai-amerikai kereskedelmi háború egyik látványos elemeként mind a belföldi, mind a külföldi vállalatoknak engedélyeztetniük kell a tiltólistán lévő technológiák megvásárlását, vagy az amerikai technológia értékesítését a megfelelő kínai cégeknek.

A szigorításoktól a japán kormány azt várja, hogy hatékonyan csökkenti majd a kibertámadások vagy adatlopások kockázatait a külföldön gyártott eszközök ellenőrzésén keresztül, biztosítva azt is, hogy a mindennapi élet és a gazdaság működése szempontjából nélkülözhetetlen rendszereket csak a megfelelő társaságok üzemeltethetik. A kommunikáció vagy az energiaellátás megzavarásán túl a kibertámadások ma már a légikatasztrófáktól az áradásokig sokféle súlyos problémát okozhatnak; mivel az állam Japánban sem képes egymaga biztosítani a vonatkozó infrastrukturális környezetet, a kormány a magánszektorral való együttműködésben látja a rizikó csökkentésének egyetlen módját.