ETSI Güvenlik Konferansı 2025’te Japonya Ekonomi, Ticaret ve Sanayi Bakanlığı (METI) Güvenlik Bölümü Direktör Yardımcısı Mizuki Kitajima ile Japonya’nın sanayi ve IoT sektörlerindeki siber güvenliğe yaklaşımı hakkında konuştuk. Kitajima-san, Japan Cyber STAR (JC-STAR) etiketleme şeması, bunun uluslararası standartlarla uyumu, güvenliği ve pazarın benimsenmesini destekleyen kademeli sistem ve temel IoT güvenliğini ve tüketici güvenini artırmada sektörler arası işbirliğinin rolü hakkındaki görüşlerini paylaştı.
Kitajima-san, Japonya Ekonomi, Ticaret ve Sanayi Bakanlığı’ndaki (METI) göreviniz ve bunun Japonya’nın siber güvenlik girişimleriyle nasıl kesiştiği hakkında daha fazla bilgi paylaşabilir misiniz?
Ben Güvenlik Bölümü Müdür Yardımcısıyım. Japonya’da her bakanlık kendi alanındaki siber güvenlik politikalarından sorumludur. METI örneğinde misyonumuz endüstriyel sektörde siber güvenlik önlemlerini iyileştirmektir. Bakanlığımız ekonomiyi, ticareti ve sanayiyi denetlediğinden, bu alanlarda uygun siber güvenlik önlemlerini sağlamaya odaklanıyoruz.
Japan Cyber STAR (JC-STAR) etiketleme planını ve bunun Japonya’da IoT ürün güvenliğini artırmadaki önemini açıklayabilir misiniz?
Elbette. Japonya’nın METI’si bu yılın Mart ayında JC-STAR adı verilen gönüllü Japon IoT etiketleme planını başlattı. Temel seviye olan STAR-1 ile başladık. Kapsam, IP ağları kullanılarak doğrudan veya dolaylı olarak İnternet’e bağlanabilen IoT ürünlerini kapsar. Buna hem tüketici hem de endüstriyel ürünler dahildir.
Örneğin Birleşik Krallık’ta program yalnızca tüketici ürünlerini kapsıyor, dolayısıyla bizimki biraz farklı. JC-STAR sonunda dört seviyeye sahip olacak: STAR-1’den STAR-4’e. STAR-1, kapsamdaki tüm IoT ürünlerinde ortak olan minimum tehditleri ele almak için birleşik bir temel sağlar. STAR-2, -3 ve -4’e yönelik gereksinimler, örneğin ağ kameraları veya yönlendiriciler gibi ürün kategorisine göre geliştirilecektir.
STAR-1 öz beyanı kullanır: şirketler dokümantasyon hazırlar ve kendi uygunluk beyanını sunar. Ancak STAR-3 ve -4’ün bağımsız bir test laboratuvarı (üçüncü taraf sertifikasyonu) tarafından değerlendirilmesi ve sertifikalandırılması gerekir. Bu daha yüksek seviyeler, devlet kurumları, altyapı sağlayıcıları ve büyük şirketler gibi günlük yaşamı etkileyebilecek kritik sistemlerde kullanılan ürünlere yöneliktir. Bu programın Japon pazarında güvenli ürünleri teşvik edeceğini umuyoruz. Ayrıca gelecekteki devlet alımlarında da etikete ihtiyaç duyulacak.
JC-STAR, ETSI EN 303 645 gibi uluslararası standartlarla nasıl uyum sağlıyor ve METI küresel uyumu sağlamak için hangi adımları atıyor?
Hükümet liderliğindeki bir girişim olarak JC-STAR’ın şirketler tarafından benimsenmesi nispeten kolaydır çünkü güvenlik gereksinimleri hem yerel hem de uluslararası standartları kapsamlı bir şekilde kapsayacak şekilde yapılandırılmıştır. Elbette ETSI EN 303 645’e, NIST standartlarına ve hatta AB Siber Dayanıklılık Yasası’nın yasal taslak düzeyine atıfta bulunuyoruz.
JC-STAR toplamda 101 güvenlik gereksinimi içeriyor; bu oldukça uzun bir liste. STAR-1 için 16 temel temel gereksinimi seçtik. Bu nedenle JC-STAR, küresel standartlarla ve diğer ulusal veya uluslararası planlarla uyumlu olacak şekilde tasarlanmıştır. JC-STAR’a uygunluk genellikle diğer uluslararası standartlar veya teknik gereksinimlerle uyumluluğu sağlar.
Ayrıca güvenlik gerekliliklerinin diğer etiketleme programları ve yasal çerçevelerle karşılıklı olarak tanınması yönünde çalışmayı da umuyoruz.
JC-STAR’ı kaynakları kısıtlı cihazlar, karmaşık tedarik zincirlerine sahip cihazlar veya üçüncü taraf bileşenleri veya açık kaynak kitaplıkları içeren cihazlar gibi çeşitli IoT cihazlarına uygularken ne gibi teknik zorluklarla karşılaştınız?
Tedarik zincirinde, Japonya’daki büyük şirketlerle güçlü ilişkileri olan çok sayıda KOBİ (küçük ve orta ölçekli üreticiler) bulunmaktadır. Bu büyük şirketlerin insanların günlük yaşamları üzerinde büyük etkisi var. Ancak küçük şirketler için güvenlik önlemlerinin uygulanması pahalı olabilir.
METI bu sorunu çözmek için izleme, olaylara müdahale ve siber sigorta dahil olmak üzere siber güvenlik hizmetlerini uygun fiyatlarla sunmaktadır. KOBİ’ler ve yerel işletmeler arasında siber güvenlik konusunda farkındalık yaratmaya çalışıyoruz.
JC-STAR için, seviye 3 ve üzeri, daha önce de belirttiğim gibi, SBOM’ların oluşturulması ve bağımsız güvenlik testleri de dahil olmak üzere üçüncü taraf bileşenlere yüksek seviye gereksinimler getirilmektedir. Şu anda pek fazla şirket bu tür üçüncü taraf bileşenlerini uygun şekilde yönetememektedir, bu nedenle STAR-3 gerekliliklerini karşılamak zor olabilir. Ancak plan STAR-1’den STAR-4’e kademeli olarak ilerlediğinden, bu yapının kuruluşların zaman içinde genel siber güvenlik olgunluklarını artırmalarına yardımcı olacağını umuyoruz.
Sizin bakış açınıza göre JC-STAR, Japonya’da temel Nesnelerin İnterneti güvenliğini artırmada ne kadar etkili oldu ve bunun tüketici güveni ve güvenlik açığının azaltılması üzerindeki etkisini ölçmek için hangi göstergeler veya ölçümler kullanılıyor?
JC-STAR sertifikalarının sayısı giderek artıyor. Mevcut hızda, mevcut mali yılda en az 200 civarında (veya daha fazla) başvuru bekliyoruz; bu, Japonya’da önümüzdeki Mart ayına kadar anlamına geliyor.
JC-STAR’ın, siber güvenlik önlemlerine ilişkin farkındalığı artırması nedeniyle Japonya’daki IoT güvenliğine önemli bir katkı sağladığına inanıyoruz. Piyasaya sürülmesinden bu yana yalnızca altı ay geçtiğinden, etkinliğini ölçmek için hâlâ uygun ölçümleri değerlendiriyoruz. JC-STAR’ı daha da geliştirmek için gelecekte bunları iyileştirmeyi planlıyoruz. Ancak şu ana kadar sistem iyi çalışıyor.
METI, JC-STAR’ın IoT güvenlik standartlarının uluslararası uyumlaştırılmasına katkısını nasıl görüyor ve ETSI veya diğer ülkelerle işbirlikleri nasıl bir rol oynuyor?
STAR-2 ve daha yüksek seviyeler için Japonya, standartları geliştirmek amacıyla endüstriyel derneklerle yakın işbirliği içinde çalışmaktadır. STAR-2’nin üzerinde gereksinimler oluşturduğumuzda, standartların her sektördeki belirli ürünlerin ve üretim süreçlerinin özelliklerini yansıtmasını sağlamak için bu kuruluşlara danışırız.
Bu derneklere, sektör çapında güvenlik önlemlerini teşvik etmelerine olanak tanıyan “JC-STAR Destek Kuruluşları” statüsü veriyoruz. Daha fazla sektör bu yaklaşımı benimsedikçe belgelendirmenin önemi artmaya devam edecektir.
Sektörden istişarede bulunulması ve görüş alınması çok önemlidir. ETSI ve diğer ülkelerle iş birliği yapmak da bizim için çok faydalı çünkü daha yüksek seviyelere yönelik standart belirleme sürecinde bize değerli bilgiler sağlıyor.
İleriye baktığımızda, JC-STAR’ın önümüzdeki birkaç yıl içinde hangi yeni ortaya çıkan IoT cihaz kategorileri veya güvenlik trendlerine uyum sağlaması gerektiğini düşünüyorsunuz? Planın zaman içinde güncellenmesi için hangi mekanizmalar mevcuttur?
Bu zor bir soru. Devlet kurumlarına, belediyelere ve kritik altyapı operatörlerine sağlanan cihazların daha katı güvenlik gerekliliklerini karşılaması gerekecek. Bu tür kullanım durumları için özel güvenlik yönergeleri oluşturmak faydalı olacaktır.
Şu anda üç kategori için daha yüksek seviye standartlar (STAR-2 ve üzeri) geliştirilmektedir: iletişim cihazları, ağ kameraları ve akıllı ev aletleri. Şu anda bu kategoriler için güvenlik gereksinimlerini yapılandırıyoruz. Gelecekte üreticilerin ihtiyaçlarına bağlı olarak fabrikalarda veya enerji üretim sektörlerinde kullanılan IoT cihazları gibi diğer kategoriler için de daha üst düzey standartlar oluşturmayı araştırabiliriz. Şu ana kadar bu üç kategoriye yönelik planlarımız var ancak genişlemeyi umuyoruz.
Son olarak, IoT güvenlik etiketleme veya sertifikasyon çerçevelerini tasarlamaya yeni başlayan ülkelere veya düzenleyicilere ne gibi tavsiyelerde bulunursunuz?
JC-STAR’ın güvenlik gereksinimleri ETSI EN 303 645, NIST ve EU CRA gibi hem yerel hem de uluslararası standartları kapsamlı bir şekilde kapsayacak şekilde yapılandırıldığından, şirketlerin benimsemesi nispeten kolaydır.
JC-STAR’ın güvenilirliğini artıran, 101 gereksinimden oluşan uzun bir liste hazırladık çünkü bu, izole edilmiş bir yerel standart değil, önemli uluslararası çerçevelere referans veriyor. ETSI ve NIST standartlarının tüm temel ve temel ancak önemli gereklilikleri kapsadığını düşünüyorum, bu nedenle bunlara referans vermek çok iyidir.
Bu nedenle JC-STAR, küresel standartlar ve diğer ulusal planlarla uyumlu olacak şekilde tasarlanmıştır. Japonya’daki diğer bakanlıkların farklı siber güvenlik planları vardır ve JC-STAR bunlar arasında uyumluluğun sağlanmasına yardımcı olur.
