欧洲风险报告标志着5G安全挑战

 
欧盟成员国已发布了有关5G技术的联合风险评估报告，该报告强调了日益增加的安全风险，这将需要采用新方法来确保电信基础设施的安全。
到目前为止，欧盟一直出于国家安全考虑抵制来自美国的压力，要求其抵制中国科技巨头华为作为5G供应商，英国等个别成员国也花时间考虑这个问题。
但是该报告指出了5G所面临的“非欧盟国家或国家支持的参与者”的风险-可以将其解读为华为的外交法规。但是，正如一些行业观察家很快指出的那样，如果英国退欧通过，该标签可能会在不久的将来被应用到更近的地方。
在#Brexit(https://t.co/o7gyV0hqCv)https://t.co/VgU30kRz4p之后，有关非欧盟网络攻击风险的5G报告的某些部分可能会意外地获得新的意外含义。
— Lukasz Olejnik(@lukOlejnik)，2019年10月9日
早在3月份，随着欧洲电信行业对如何应对美国封锁华为的压力的担忧不断加剧，欧洲委员会介入发布了一系列建议-敦促成员国加强个人和集体的关注，以减轻潜在的安全风险5G网络。
随之而来的是今天的风险评估报告。
它确定了一些“安全挑战”，报告认为这些挑战“可能会在5G网络中出现或变得更加突出”，而不是当前的移动网络，这与扩大使用软件来运行5G网络有关;以及将由下一代网络启用并在下一代网络上运行的软件和应用。
供应商在建立和运营5G网络中的作用也被视为一项安全挑战，该报告警告称“对单个供应商的依赖程度”，并且单个5G供应商的篮子里放置了太多鸡蛋。
根据该报告，总结了预计将在5G推出后带来的影响：
遭受攻击的风险增加，并且攻击者有更多潜在的切入点：随着5G网络越来越基于软件，与主要安全漏洞相关的风险(例如，由于供应商内部不良的软件开发流程所带来的风险)变得越来越重要。它们还可以使威胁参与者更容易地恶意将后门插入产品中，并使其更难被发现。
由于5G网络架构的新特性和新功能，某些网络设备或功能变得越来越敏感，例如基站或网络的关键技术管理功能。
与移动网络运营商对供应商的依赖有关的风险增加。这还将导致威胁参与者可能利用更多数量的攻击路径，并增加此类攻击影响的潜在严重性。在各种潜在参与者中，非欧盟国家或国家支持的参与者被认为是最严重的参与者，也是最有可能针对5G网络的对象。
在供应商更容易遭受攻击的情况下，单个供应商的风险状况将变得尤为重要，包括供应商受到非欧盟国家干扰的可能性。
对供应商的主要依赖关系带来的风险增加：对单个供应商的主要依赖关系增加了潜在的供应中断风险，例如由于商业失败及其后果。它还加剧了弱点或漏洞的潜在影响，以及威胁行为者可能利用的弱点，特别是在依赖关系涉及存在高度风险的供应商的情况下。
对网络可用性和完整性的威胁将成为主要的安全隐患：除机密性和隐私威胁外，随着5G网络有望成为许多关键IT应用程序的骨干，这些网络的完整性和可用性将成为主要的国家安全隐患和安全隐患。从欧盟的角度来看主要的安全挑战。
高级别报告是与委员会和欧洲网络安全局合作的成员国国家风险评估的汇编。这只是制定欧洲应对5G网络安全措施的第一步。
该报告在总结中说：“它突出了与欧盟具有特殊战略意义的要素。” “因此，它并非旨在对与5G网络相关的个人网络安全风险的所有相关方面或类型进行详尽的分析。”
下一步将是在12月31日之前，开发由网络和信息系统合作小组同意的缓解措施工具箱，其目的是在国家和联盟层面解决已识别的风险。
“到2020年10月1日，会员国应与委员会合作，评估建议书的效果，以确定是否需要采取进一步行动。评估应考虑到协调的欧洲风险评估的结果以及措施的有效性。
对于该工具箱，根据该报告，可能会考虑采取多种措施，其中包括上一代移动网络的现有安全要求，这些要求已通过3GPP移动电话标准组织(特别是针对3GPP)的标准化来定义。 5G网络的核心和访问级别。
但它也警告说：“ 5G运行方式的根本差异还意味着，目前部署在4G网络上的安全措施可能并不完全有效或不够全面，无法缓解已确定的安全风险”，并补充道：“此外，其性质和特征其中某些风险使得有必要确定是否可以仅通过技术措施来解决它们。
“这些措施的评估将在委员会建议书的后续实施阶段进行。这将导致确定适当，有效和成比例的可能的风险管理措施的工具箱，以减轻会员国在此过程中确定的网络安全风险。”
该报告最后说：“在软件开发，设备制造，实验室测试，合格性评估等方面，也应考虑欧洲工业能力的发展” —用一句话就包装了很多东西。
这意味着5G安全业务将需要相应扩大规模以应对与下一代技术相伴的多维安全挑战。仅仅禁止一个供应商是不会削减的。