日本政府开始测试全国物联网设备的安全性

插图来源：iStockphoto 

自2月20日，日本国家信息与通信技术研究所（NICT）将开始测试属于公民和企业的物联网设备的安全性。作为将于2022年结束的全国网络安全实验的一部分，该机构将在不通知设备所有者的情况下，使用默认的和易于猜测的密码凭据尝试登录全国各地的、可能已达数百万台的物联网设备。

该项目将与该国的主要互联网服务提供商（ISP）合作开展。其目的是根除安全性较弱的物联网（IoT）设备。然后，ISP将警告设备所有者，他们的设备易受网络攻击。

日本政府在2015年发表的一篇关于网络安全的文章（https://www.nisc.go.jp/eng/pdf/cs-strategy-en.pdf）中指出，物联网安全性差是对国家安全的威胁。随着将在东京举行的2020年夏季奥运会的临近，世界的目光将很快聚焦到日本这里，从而将日本举办一届安全的奥运会的能力置于国际监督之下。

因此，政府提出了NICT物联网安全测试项目，试图主动解决安全问题。该项目正式命名为“面向物联网清洁环境的国家行动”（National Operation Towards IoT Clean Environment，简称NOTICE）。该项目由日本总务省授权。

东京大学信息技术中心副教授佐藤周行（Hiroyuki Sato）表示，尽管他理解这一测试的动机，但该行动的开展并没有经过公众的同意。

佐藤指出，去年政府不得不修改现有的NICT法规，即所谓的NICT法，以避免该项目与禁止未经授权的计算机访问的一般法律条文相冲突。他说：“这表明这种设备测试仍存在与民权有关的几个问题。我担心政府的这一决定是仓促的。”

他还表示，政府本可以更好地向公众和企业解释收集的数据将如何使安全性增强，或者这些数据是否会用于其他目的。 

“迄今为止给出的解释是不够的。”佐藤说。“这是一种极其常见的日本管理方式。更详细的说明是必要的。”

为了向公众保证NOTICE不会导致隐私内容的泄露，NICT于2月1日发布了一份新闻稿，解释说“调查的目的是检查每个物联网设备设置的密码是否容易被猜到（例如123456、00000000等）。”

该公告称，不会对设备进行入侵或获取“该调查所需信息以外的信息。对于调查获得的信息，将按照总务大臣批准的NICT工作执行计划，采取严格的控制措施。”

佐藤并不怀疑NICT妥善执行NOTICE的能力。他说NICT在进行IT测试和调查方面很有经验。他还认为，这种测试对于ISP了解其网络安全状况是必不可少的。但是，他对实际测试结果能发挥多大作用确有质疑。他说，普通人在被告知他们的设备易受攻击时，他们并不知道该如何应对。

他说：“大多数人不知道旧设备的账户信息，也不知道如何修补任何安全漏洞。因此，我预计安全性的增强效果将是有限的。”

他认为，更好的方法是让ISP在NOTICE测试之前进行不那么激烈的测试。他说，这样可以使全国更好地为NICT的侵入性项目做好准备。

展望未来，佐藤希望ISP更新其固件，以帮助加强网络安全。他认为，政府将强烈建议设备制造商在发布新型号设备时承担安全责任。 

与此同时，IT世界的其他人士将饶有兴趣地关注NOTICE的进展，以及被命中的设备的用户将如何反应。

（来源：IEEE电器电子工程师学会）