『我的第一部5G手机』重磅：欧盟5G网络安全风险评估报告( 二 ) |网络安全|技术|运营商|

MNO的供应商：为MNO提供设备或服务的实体，包括但不限于：电信设备制造商以及其他第三方供应商(例如，云基础架构提供商、系统集成商、安全和维护承包商、传输设备制造商等) 。
设备和服务供应商的制造商：提供能够接入5G网络和组成5G控制平面中托管服务的物体和服务组件(例如智能手机、互联车辆、电子医疗)的实体。
其他：包括5G移动网络的服务和内容提供商以及终端用户。
在欧盟提供服务的MNO必须遵守欧盟和各成员国的法律。成员国有关主管部门有权执行一般性授权，以确保MNO获得提供电信网络或服务的权利并履行特定义务。目前， MNO的供应商公司屈指可数。从市场份额的角度来看，主要供应商包括华为、爱立信、诺基亚、中兴、三星和思科。此外， MNO的其他重要第三方供应商还包括一系列提供各种服务(如网络管理和维护、数据中心等)的分包商。这些分包商可能与MNO处于不同的国家。值得注意的是，全球电信供应链的复杂性和相互依存性，以及许多欧盟使用或建设的网络系统的大部分制造商和第三方支持公司并未处于欧盟。
2 欧盟成员国对5G网络安全风险的评估
报告遵循ISO / IEC：27005风险评估方法，基于有关用例和可能场景的假设，对以下参数进行评估，并在最后给出了一些风险场景和缓解措施。
(一) 威胁种类
☆ 本地或全球5G网络中断(可用性);
☆ 暗中监视5G网络基础设施中的流量/数据(保密性);
☆ 修改或重路由5G网络基础架构中的流量/数据(完整性、保密性);
☆ 通过5G网络破坏或更改其他数字基础架构或信息系统(完整性、可用性) 。
与现有网络相比，经济和社会功能对5G网络的依赖将更大，将可能会大大加剧5G网络中断带来的潜在负面影响。 5G网络面临的威胁的严重性主要取决于以下几个因素：
☆ 受影响的用户数量和类型;
☆ 事件发现或修复之前所需的时间;
☆ 受影响的服务类型(公共安全，紧急服务，卫生，政府活动，电力供应，水供应等)以及损害或经济损失的程度;
☆ 被破坏的信息类别。
(二) 威胁实施者
表1列出了报告梳理的几种主要威胁实施者。

本文插图
以下对威胁实施者攻击和企图攻击5G网络基础设施的能力(资源)和意图(动机)进行评估：国家(或国家支持的)实施者构成的威胁最严重，其可对5G网络进行持续、复杂的攻击，具有充分的动机和意图，也具有相对来说最强的能力。这些攻击可能非常复杂，并对公众基本服务产生重大影响，从而摧毁公众对移动技术和运营商的信任。例如，国家(或国家支持的)实施者可能会利用未记录在案的功能或攻击关键基础设施，从而导致电信服务的大规模中断或对其造成严重干扰。部分成员国已经确定某些非欧盟国家的网络进攻计划对其国家利益构成了威胁。
在某些情况下，内部人员或分包商也可能成为潜在的威胁实施者，尤其是为成员国服务的人员或分包商，因为它们可以被其他国家视为获取关键目标资产的渠道。
(三) 受威胁资产
对运营商而言， 5G新功能的引入将需要对现有网络进行重新设计。表2按照以下两类标准对各类技术资产的敏感性进行了评估：
☆ 影响的类型，即保密性、可用性、完整性受到的损害程度;
☆ 影响的规模，即用户、持续时间、受影响的基站或小区数量、被更改或访问的信息量等。

本文插图
在考虑关键资产时，以下非技术资产类别(包括用户组、地理区域、关键基础架构等)也需要特别关注：
☆ NIS指令下的基本服务运营商和关键基础架构运营商;