A. 歐盟發布5G網路安全風險評估報告:攻擊風險增加
C114訊 北京時間10月10日消息(艾斯)在歐盟委員會和歐洲網路安全局的支持下,歐盟成員國發布了一份歐盟對5G網路安全風險的評估報告。這一重大舉措是執行歐盟委員會於2019年3月通過的安全建議的一部分,該建議旨在確保整個歐盟5G網路的高水平網路安全。
該報告基於所有歐盟成員國的國家網路安全風險評估結果。報告確定了主要威脅和威脅行為者,最敏感的資產,主要漏洞(包括技術漏洞和其他類型的漏洞)以及許多戰略風險。
這一評估為確定可在國家和整個歐盟層面實施的緩解措施提供了基礎。
歐盟對5G網路安全風險評估的主要洞察:
報告指出了一些重要的安全挑戰,與現有網路的情況相比,這些挑戰很可能在5G網路中出現或變得更加突出:
這些安全挑戰主要與以下方面有關:
5G技術的關鍵創新(這同時也帶來了許多特定的安全性改進),尤其是軟體的重要組成部分,以及由5G支持的廣泛的服務和應用程序;供應商在建設和運營5G網路中的作用,以及對單個供應商的依賴程度。
具體而言,預計5G網路的推出將產生以下影響:
·遭受攻擊的風險增加,並且攻擊者有更多潛在的切入點:由於5G網路越來越基於軟體,與重大安全缺陷相關的風險越來越重要,比如供應商內部糟糕的軟體開發流程。這還將使威脅行為者更容易惡意地在產品中插入後門,並使其更難被發現。
·由於5G網路架構的新特性和新功能,某些網路設備或功能變得越來越敏感,例如基站和網路的關鍵技術管理功能。
·與移動網路運營商對供應商的依賴相關的風險增加。這也將導致更多的攻擊路徑可能被威脅行為者利用,並增加此類攻擊影響的潛在嚴重性。在各種潛在威脅行為者中,非歐盟國家或歐盟國家支持的行為者,被認為是最危險的行為者,也是最有可能瞄準5G網路的對象。
·在這種由供應商導致的被攻擊風險增加的情況下,單個供應商的風險狀況將變得尤為重要,包括供應商受到非歐盟國家干預的可能性。
·對供應商的重度依賴關系帶來的風險增加:對單個供應商的重度依賴關系增加了潛在的供應中斷風險,例如由於商業破產及其後果導致的供應中斷。它還加劇了弱點或漏洞的潛在影響,同時威脅行為者可能會利用這些弱點,特別是在依賴關系涉及存在高度風險的供應商的情況下。
·對網路可用性和完整性的威脅將成為主要的安全問題:除了機密性和隱私威脅外,5G網路預計將成為許多關鍵IT應用的骨幹,這些網路的完整性和可用性將成為國家安全的主要問題,從歐盟的角度來看,這也是一個重大的安全挑戰。
所有這些挑戰共同創造了一個新的安全範式,因此有必要重新評估適用於該領域及其生態系統的當前政策和安全框架,這對於成員國採取必要的緩解措施至關重要。
同時,歐洲網路安全局正在敲定一個與5G網路相關的具體威脅分布圖,該分布圖將更詳細地分析報告中涉及的某些技術方面。
下一步
到2019年12月31日,合作小組將商定一個緩解措施工具箱,用以解決國家和整個歐盟層面已確定的網路安全風險。
到2020年10月1日,歐盟成員國應與歐盟委員會合作,評估安全建議的效果,從而確定是否需要採取進一步行動。該評估應考慮到統一的歐洲風險評估的結果和各項措施的有效性。
報告背景
在獲得歐洲理事會的支持後,2019年3月26日,歐盟委員會通過了《5G網路安全建議》,呼籲歐盟成員國完成國家風險評估並審查國家安全措施,並在整個歐盟層面共同開展統一風險評估工作,同時就一個通用的緩解措施工具箱進行商議。
在國家層面,每個成員國都完成了5G網路基礎設施的國家風險評估,並將評估結果發送給了歐盟委員會和歐洲國家網路安全委員會(ENISA)。國家風險評估特別審查了影響5G網路、敏感5G資產以及相關漏洞的主要威脅和威脅行為者,這些漏洞包括技術漏洞和其他類型的漏洞,例如5G供應鏈中潛在產生的漏洞。