你在这里

欧盟评估网络安全和网络5G

丽贝卡·卢卡斯
评论, 2019年10月25日
网络, 网络安全, 欧洲联盟, 技术, 欧洲
欧盟的5G网络的网络安全综合风险评估不只是华为。它突出了更广泛的网络安全风险的5G网络。由于缺乏市场激励机制来解决这些风险,监管,保障5G网络变得更加容易。

本月初,欧盟的网络和信息安全(NIS)组发布了其合作 5G网络的协调网络安全的风险评估。合并来自成员国,这些国家并没有公开发布,到国际5克威胁环境的全面风险评估的最终报告提交个人。它描述了威胁和威胁行为,资产,漏洞,风险情况和现有措施缓解。欧洲网络与信息安全署(ENISA) 也正在编制总体结论的私人,更详细的测绘和分析。无论是欧盟努力的重点是5G网络安全的一部分。下一阶段是一个工具包定于缓解发布在12月。

公开讨论 

首次公开演讲关于欧盟的评估有,一如预期,集中在与风险 非欧盟供应商 和可能产生的影响,如果中国公司 华为 耗材 5G网络基础设施组件。标识报告指出和国家支持的网络攻击能力与演员的最危险的威胁到5G网络的基础上,“动机,意图和高层次能力的组合”。另外,它描述了从知情人或WHO建立5G网络组件或维持,“特别是如果利用由国家”分包商的威胁。 

然而,5G网络的网络威胁不只是从那些建立和维护它们。而5克恶意网络活动状态主导的基础设施供应商是一个重要的考虑因素,该报告强调,公众讨论,包括初始媒体的众多附加险  报告还没有充分解决。 

5克威胁形势演员

国家和非国家行为者会对网络5G网络的威胁。对于前者,报告确定国家行为体和内部威胁,即使排除了5克的基础设施供应链作为单独的,虽然重叠,类别,强调的是,国家和国家支持的演员保留威胁到“保密性,可用性的能力,网络5g的完整性。作为NCSC 指出,俄罗斯攻入系统英国无数次而没有供应提供电信组件。只关注华为,因此,模糊更大的风险大约需要适当从一组不同的敌人的固定5G网络办法问题。  

来自非国家行为者的威胁可能来自有组织犯罪,黑客行动主义者,或世卫组织工作人员谋取个人经济利益。再次,有从个人在5G网络供应商提供部件或维护的内部威胁。 

网络漏洞

随着网络威胁环境是动态的,无法预测,报告十分显著空间,5G网络中识别从工程较差或组件的故意操纵漏洞。重要的是要注意,这些漏洞可以被所有参与者的威胁被利用,而不仅仅是建立和那些保持5G网络。有漏洞的主要从两方面考虑:网络设计和安全性;和供应链。 

关于决策架构和网络访问的方式来保护重要的5G网络。分段和冗余,例如,可以帮助网络REMAIN如果其中一种或弹性几个组件失败。网络设计不良的报告给出的例子包括未能:妥善执行国际标准;存在于传统网络减轻漏洞;占变更管理和软件更新(包括远程访问扶贫政策);而未能考虑物理安全风险的网络组件。总之,不仅5克网络容易受到恶意国家或非国家行为体的威胁,但人为错误此外,自然灾害,或只是运气不好。

供应链风险涉及到生产设施的选址和设计方案的质量。所谓的“可靠”的厂商也不能幸免于人为错误,任何产品的表观国籍绝不是给定一个可靠的指导,其中ITS卫生组织部件而设计或制造。由于许多设备供应商总部设在其他国家,包括诺基亚(瑞典)和爱立信(芬兰),有中国的工厂和分包商在容易受到政府的压力。在供应链的后门程序的任何级别的个人也插入 不知情 分包商,更不用说结束供应商,或无论是在命令下独立的恶意状态或非国家演员。而软件开发不佳ESTA的做法增加风险,供应链的规模使得它不可能为运营商保证网络组件从所有漏洞免费。

最后,报告指出两个首要风险来自词干 5克少数供应商。首先,运营商或国家依赖于一个可能成为供应商,这可能给供应商坚实的财务杠杆;如果供应商为一个国家或国家支持的演员,这可能会产生政治后果。第二,单一供应商的设备离开网络的优势打开失败或剥削的潜在的单点。而短期措施:如来自多个供应商或'采购设备供应商多元化“整个网络可以减轻ESTA的影响, 只有少数厂商 可提供ESTA设备。这个问题很可能因此需要长期的解决方案。 

下一步

作为后续行动,这一风险评估,欧盟将公布 工具包 建议12月为缓解成员国的措施。到目前为止,虽然消费者已经 不可能支付溢价 一个“更安全” 5G服务, 同时确保供应链或设计的弹性网络架构涉及 大量的前期投资。 ESTA缺乏市场激励现有的政府监管将有可能必要的手段是安全的5G网络。 正如报告所指出,这些网络的安全是国家安全的重要组成部分,作为5克覆盖率和使用率特别是扩大整个社会。因此,必须激励无论是政府或迫使公司支付股东及其这些最初的前期成本,以确保电信基础设施的安全性。 

各国政府应进一步介入寻求阐明更广泛的风险关联随着5G网络,不只是从一个国家或一个的那些公司。这样的风险是高度技术性和不经常到深受观众访问。 ESTA可能是为什么美国越来越多地强调中国的人权纪录和不公平的贸易做法有道理的华为禁令的一部分。他们也可能从不太知名的演员干。欧盟的风险评估5G和该工具包计划在ESTA的积极步骤,因为像英国的国家的具体努力 华为网络安全评估中心。途径5G,而网络的风险管理很可能是基于政治和经济方面的考虑,政策决策必须考虑目前的证据为基础的网络安全问题。

表达了这篇评论的观点是作者的,而并不代表入寺或任何其他机构。

作者

丽贝卡·卢卡斯
研究分析师,网络安全和网络威胁

丽贝卡卢克是在网络威胁和网络安全研究分析师。她目前的研究重点是网络安全策略... 阅读更多

订阅我们的新闻

入寺支持研究