國家通訊傳播委員會(NCC)。Photo by Chi-Hung Lin on flickr (https://bit.ly/37xEj1p,CC BY 2.0)

臺灣的5G競標於2019年底啟動,隨著標金一路狂飆,在在都證明目前三大二小的各家電信業者,都不敢自外於這一波5G潮流中。國家通訊傳播委員會(簡稱NCC)委員、也是臺大資管系暨研究所專任教授孫雅麗表示,5G建設勢在必行,主管機關也要求所有的得標業者在得標後,必須撰寫包括彼此權利義務的「營運計畫書」,以及最關鍵的「5G網路資通安全維護計畫」,其中包括17項針對5G資安的項目,NCC也同步公布「5G網路資安參考框架」,作為所有5G得標業者撰寫相關資安維護計畫時的參考。

孫雅麗表示,5G資安可以從制度面、管理面和技術面三個層次闡述,但最重要的內涵就是要做到Security By Design(預設安全),也就是說,要求所有電信業者在進行5G網路建設之初,就必須納入資通安全防護機制,未來在營運時,也具備足夠的資安防護能量,真正做到確保5G網路的安全性,也可以進一步做到促進各種垂直應用場域及創新應用服務的發展。

電信業者需自述5G資安維護計畫

【NCC要求所有電信業者,5G資安要做到Security By Design】國家通訊傳播委員會委員孫雅麗表示,5G網路將成為國家重要的關鍵基礎設施,要求所有電信業者,在打造5G網路的同時,就必須納入資安管理的概念。

其中,「5G網路資安參考框架」在技術面的部分,參考了國際標準組織 3GPP,以及美國NIST:Cybersecurity Framework的規範;在管理與制度面,則參考了2019年5月歐盟與北約組織舉辦5G安全會議結論的「布拉格倡議」(Prague Proposals),以及在10月公布的「歐盟5G網路安全風險評估報告」(report on the EU coordinated risk assessment on cybersecurity in Fifth Generation networks)。

孫雅麗表示,希望透過上述的各種參考指引,協助臺灣的電信業者聚焦5G資安風險議題,並要求得標電信業者需提出相對應的解決方案。

也因為5G是發展中的新興技術,她指出,NCC也首度要求5G得標業者,須自述對於5G資安的管理政策,以及提供5G行動網路服務想要達到的營運目的,希望透過由業者自行撰寫相關的5G資安維護計畫,讓業者真正了解並降低5G資安的風險管理困難度。

電信業者應設立資安長與專責機構

孫雅麗表示,從管理面來看,未來得標的5G電信業者將如同金融業,必須設立資安長及獨立的資安專責機構,也必須有一套針對資安事件的資通安全通報,以及應變處理的應變措施。

由於5G網路的特色就是將網路軟體化、虛擬化,兼具彈性以及快速擴充的特性,這種將網路從原本封閉電信網路朝向開放網路發展後,也會引進各種軟體及ICT設備,開放網路的結果,也會使得未來電信網路設備,不再只是單純的硬體裝置,更重要的是,許多不同功能的軟體模組,將會左右5G網路提供的各種應用服務。

可信任的軟硬體供應鏈管理是關鍵

如同「布拉格倡議」所言,5G網路安全的主要威脅來源,包含:人為錯誤帶來的意外事件,以及個別駭客(individual hackers)、駭客主義團體(hacktivist groups)、組織型犯罪集團(organized crime groups)、內部人員(insiders),網路恐怖分子」(cyber-terrorists)、國家支持型駭客的攻擊行為(state-sponsored actors)。孫雅麗認為,可信任的軟體和硬體供應鏈管理,將是未來5G資安管理最重要的關鍵議題之一,因此,所有業者從軟體設計、開發到維運過程中的品質及控管,一直到軟體更新管理,都很重要。但她也特別強調,5G業者不僅需要可信任的軟硬體供應鏈業者,更重要的是,所有的電信營運業者都必須有能力驗證5G相關軟硬體的安全性才行。

孫雅麗指出,以前NCC針對電信業者所提供的,是一套IT資安管理的參考指引,但是,到了5G網路時代,各種網路設備都會進到傳統封閉的電信網路,資訊科技(IT)會與維運科技(Operation Technology,OT)結合,電信業者也必須更關注OT設備的安全性;此外,5G也將是未來國家發展重要的關鍵基礎設施,確保5G網路端對端的資料傳輸安全,也同樣不可忽略。

由於5G具有大流量傳輸(eMBB)、超可靠與低延遲(URLLC)、大規模聯網(mMTC)的特性,加上各種垂直場域應用,以及各種應用服務的提供,將會帶動各種物聯網(IoT)裝置連網,也會產生各式各樣的資料,業者只需要加上AI人工智慧和大數據分析,就可以進一步創造資料的價值。因此,她認為,在5G時代,如何在確保個人隱私不會被任意侵犯及濫用,以及在創造資料價值過程中取得平衡,將會是5G電信信者無法迴避的考驗。

在5G正式營運後,NCC則扮演稽核監理的角色,希望透過適當的監理以確保5G的安全可靠。孫雅麗表示,NCC也會在2020年1月,針對未來對5G電信業者稽核範圍、方法、程序等,訂定相對應的稽核辦法。

 相關報導  2020年10大資安趨勢預測


Advertisement

更多 iThome相關內容