附:布拉格5G安全大会“布拉格提案”全文
(翻译:北京师范大学网络法治国际中心执行主任吴沈括、北京师范大学刑科院暨法学院硕士研究生胡涵)
前言:全球数字化世界中的通信网络
沟通是我们社会的基石。它几乎定义了我们生活的方方面面。然而,我们使用通信技术的快速发展和规模增加了我们的依赖性和脆弱性。
5G网络和未来的通信技术将改变我们的沟通方式和我们的生活方式。运输、能源、农业、制造业、医疗、国防和其他部门将通过这些下一代网络得到显着增强和改变。高速低延迟技术有望实现真正的数字变革,刺激增长,实现创新和福祉。将使日常活动的自动化和充分发挥其潜力的物联网成为可能。
然而,这些发展给重要的公共利益带来了重大风险,并对国家安全产生了影响。今天,恶意行为者在网络空间中运作,其目的是破坏我们社会的凝聚力,并使国家或企业的正常运作陷入瘫痪。这包括试图控制或破坏我们的通信渠道以及传输的信息。在数字化社会中,这会产生严重的后果。
因此,沟通渠道的安全性变得至关重要。破坏传输信息的完整性、保密性或可用性甚至中断服务本身都会严重妨碍日常生活、社会功能、经济和国家安全。通信基础设施是我们社会的基石,5G网络将成为新数字环境的基石。
关于5G网络安全的重要性
考虑到5G网络的安全性对国家安全、经济安全和其他国家利益以及全球稳定至关重要,主席认为5G网络的架构和功能必须以适当的安全水平为基础。
欧盟成员国强调了他们自己的持续进程,旨在确定欧盟委员会在2019年3月26日发布的建议书中发布的关于5G网络安全问题的欧盟共同办法。
为了支持正在进行的讨论,如何降低与开发、部署、运营和维护复杂通信基础设施(如5G网络)相关的安全风险,主席认识到存在以下观点:
网络安全不仅是一个技术问题
网络安全不能被视为纯粹的技术问题。一个安全、可靠和有弹性的基础设施需要适当的国家战略、健全的政策、全面的法律框架以及经过适当培训和教育的专业人员。强大的网络安全支持保护公民自由和隐私。
网络威胁的技术和非技术性质
在处理网络安全威胁时,不仅应考虑其技术性质,还应考察利用我们对通信技术的依赖性的恶意行为者的具体政治、经济或其他行为。
5G网络中断可能造成的严重影响
由于基于5G的网络的广泛应用,未经授权的通信系统访问可能会暴露前所未有的信息量,甚至会破坏整个社会过程。
国家层面的进路
为确保高水平的网络安全而采取的政策和行动不应仅由主要利益相关方方(即运营商和技术供应商)实现,而应由显著影响总体安全水平的其他领域和部门的所有相关利益攸关方予以检视,例如教育、外交、研究和开发等。保护通信基础设施的网络安全不仅仅是一个单纯的经济或商业问题。
适当的风险评估至关重要
系统的、不断的风险评估,涵盖网络安全的技术和非技术方面,对于创建和维护真正有弹性的基础架构至关重要。应制定和部署基于风险的安全框架,同时考虑到现有技术政策和减轻安全风险的手段。
安全措施的广泛性
网络安全措施需要足够广泛,以覆盖整体安全风险范围,即运营和战略层面的人员、流程、物理基础设施和工具等等。
没有一般性解决方案
在制定适当措施以提高安全性时,关于最佳路径的抉择应反映出独特的社会和法律框架、经济、隐私、技术自给自足以及对每个国家都很重要的其他相关因素。
在支持创新的同时确保安全性
创新是现代社会发展和经济增长的主要动力。它还促进了新的安全解决方案。政策、法律和规范应允许安全措施灵活地协调安全与特定国情之间的互动。应该通过这种灵活性鼓励创造力和创新。
安全需要成本
实现适当的安全水平有时需要更高的成本。如果安全需要,应该容忍增加的成本。同时,安全性并不必然意味着更高的成本。
供应链安全
所有利益相关方的共同责任是推动供应链安全。通信基础设施的运营商往往依赖于源自其他供应商的技术。主要的安全风险来自提供ICT设备的日益全球化的供应链的跨境复杂性。应根据相关信息将这些风险视为风险评估的一部分,并应设法防止有害设备的渗透以及恶意代码和功能的使用。
考虑到这些观点,主席要求负责任地开发、部署和维护5G网络和未来的通信技术,并考虑以下建议和最佳实践——
布拉格提案
主席建议在四个不同类别中提出以下建议,以准备5G和未来网络的到来。
A.政策
通信网络和服务的设计应考虑到弹性和安全性。应使用国际的、开放的、基于共识的标准和风险导向网络安全最佳实践来构建和维护它们。应促进明确的全球互操作网络安全指引,以支持网络安全产品和服务,提高所有利益相关者的防御能力。
根据国际法,每个国家都有自由制定自己的国家安全和执法要求,这些要求应尊重隐私,并遵守保护信息免受不当收集和滥用的法律。
规制网络和连通性服务的法律和政策应遵循透明度和公平性原则,同时考虑到全球经济和可互操作的规则,并充分监督和尊重法治。
应考虑第三国政府对供应商影响的总体风险,特别是关于其治理模式,是否缺乏安全合作协议或类似安排(如数据保护方面的充分性认定),或者该国是否是关于网络安全、打击网络犯罪或数据保护的多边性、国际性或双边性协议的缔约国。
B.技术
在产品发布之前和系统运行期间,利益相关方应定期在所有组件和网络系统中进行漏洞评估和风险消解,并培育促进查找/修复/补丁文化,以消解已识别的漏洞并快速部署修复程序或补丁。
供应商产品的风险评估应考虑所有相关因素,包括适用的法律环境和供应商生态系统的其他方面,因为这些因素可能与利益相关方维持最高可能的网络安全水平的努力相关。
在建设弹性和安全性时,应该考虑到恶意网络活动并不总是需要利用技术漏洞,例如:如果发生内部人攻击。
为了增加全球通信的益处,各国应采取政策,以实现高效和安全的网络数据流。
利益相关者应考虑伴随5G网络推出的技术变革,例如:使用边缘计算和软件定义的网络/网络功能虚拟化,以及它对通信信道整体安全性的影响。
根据现有技术和相关的商业和技术实践,客户-无论是政府、运营商还是制造商-必须能够了解影响产品或服务安全级别的组件和软件的来源和谱系,包括产品和服务的维护、更新和补救的透明度。
C.经济
多样化和充满活力的通信设备市场和供应链对于安全和经济复苏至关重要。
对研发的有力投资有利于全球经济和技术进步,是一种可能增加技术解决方案多样性的方式,对通信网络的安全产生积极影响
应使用采购、投资和承包方面的标准最佳实践,公开透明地为通信网络和网络服务提供资金。
国家赞助的5G通信网络和服务提供商的扶持、补贴或融资应该遵循公开市场竞争原则,同时考虑到贸易义务,尊重公平原则,商业上合理,公开透明地进行。
有效监督影响电信网络发展的主要金融和投资工具至关重要。
通信网络和网络服务提供商应具有透明的所有权、合作伙伴关系和公司治理结构。
D.安全、隐私和弹性
包括行业在内的所有利益相关方应共同努力,以促进国家关键基础设施网络、系统和连接设备的安全性和弹性。
应促进经验和最佳实践的分享,包括酌情提供协助以及消解、调查、响应和从网络攻击、损害或中断中恢复。
供应商和网络技术的安全和风险评估应考虑到法治、安全环境、供应商渎职行为以及对开放、可互操作、安全标准和行业最佳实践的遵从性,以促进充满活力和强大的网络安全产品和服务供应进而应对不断上升的挑战。
风险管理框架应遵循数据保护原则,以确保使用网络设备和服务的公民的隐私。