取材自ecfr.eu的文章”5G and National Security”,作者是Lorenzo Pupillo
5G技術被描繪成無線服務的新聖杯,一個新品種的數位應用,其特色是速度快(比4G快200倍)並且無線寬頻網絡的資料傳輸速度也快(即傳輸時間比4G縮短10倍),這些特性讓它可以服務自駕車、先進工廠自動化、智慧城市及e-健康等。但是5G不僅僅是前景看好的科技發展,它也是最新地緣政治劇的最佳舞台,現今的戲碼就是中國與美國的科技戰,它提醒我們新興強權挑戰現有強權造成的危機,就如同古希臘的斯巴達與雅典、一世紀前的德國與大不列顛、冷戰時期的美國與蘇聯,而這個鬥爭才剛開始,除了5G之外,人工智慧及智慧城市將提供對抗的新競技場。
今天5G網絡的最大挑戰在安全性,首先5G網絡的主要功能及隱藏於其經濟可行性之後的承諾是經由軟體而非硬體進行,這比老式無線網絡明顯具有優勢,但另一方面也會產生脆弱區,因為軟體更容易受到潛在的惡意攻擊。此外,今天的資訊科技(IT)系統極為複雜,目前智慧手機的系統單晶片有超過80億個電晶體,而且目前的作業系統有超過5千萬個原始碼行數,這些系統是由不同軟體及硬體供應商提供的零件建構而成,原則上這會產生許多”入口點”,讓惡意攻擊及資料洩漏經由”後門”發起,而且隱藏的遠端讀取可以利用漏洞攫取裝置的整個控制權,如果無法偵測及監控後門,那麼5G網絡的安全性及保安無可避免地就會打折。
當然,這些問題都有解決之道。雖然安全評估、原始碼檢查及滲透測試有助於改善整體軟體品質,但終究無法證明是否有惡意原始碼或後門的存在,這適用所有的製造商,不只限於中國製造商。
另外,5G網絡結構會讓無線電接入網(基地台及天線)與”核心”網絡的分界變得模糊,包括轉換及傳輸,這也反映網絡情報由核心轉移至周邊,因而會對網絡安全造成顯著的影響,越多的情報分配在周邊,表示連網裝置及物件的數量越多,攻擊面就越大,網絡流量的巨幅增加將使得惡意攻擊越來越難偵測。
另一方面,政府對5G設備供應商的性質存有疑慮是可以理解的,因為完全信任裝置是不可能的事,信任必須建立在製造商身上,這就要視製造商營運所涉及的管轄權、法制及法律規則而定。一份最近的5G安全會議總結報告指出”5G產品的風險評估應該將所有的相關因素納入考慮,包括適用的法定環境以及供應商生態系統的其他面向,因此政府的問題變成是如何佈建高彈性及可靠的5G基礎建設,讓該國的未來經濟及社會得以建立及依靠。
在5G安全性的態度上,美國與歐盟出現差異,美國政府基於國家安全的理由將華為科技列入黑名單,最近更禁止美國公司將組件及軟體賣給華為,除非獲得政府的核准,美國也以安全疑慮為由,施壓其他國家禁止華為產品。美國政府最在意的是2017年通過的中國情報法,它強迫華為之類的公司利用其基礎建設為中國政府提供所需的情報,雖然華為高階主管不斷地聲明寧可關門也不會做中國政府的間諜,但效果似乎有限,最近甚至向美國、德國及英國提出簽署”無間諜協議”。因為無法證明惡意程式碼的存在,所以在面臨蓄意破壞的時候,就會失去網絡彈性,除非是完全分離的網絡。
另一方面,一些美國分析師及公司觀察到限制美國科技出口到華為之類的中國公司最終會受到反噬,理由是如果以國家安全為由實施華為禁令是合法的,那麼阻擋出口就會讓情況變得更糟,例如禁止谷歌和華為做生意,將迫使中國公司發展自己的安卓版本,它將比原來的谷歌版本存在更多的錯誤,進而增加華為手機被駭的風險,特別是被中國駭客。此外,出口禁令雖然會削弱華為,但不會消滅它,反而會刺激中國奮進,最終在科技上不再依賴美國,並且限制美國科技出口會降低美國的貿易輸出及工作機會。
總言之,和中國來硬的並不是美國最好的解決方案。和4G情況相反,中國明顯是5G的領頭羊,歐洲及南韓發展的也比美國好。美國國防部國防創新委員會最近一期報告指稱”當5G以類似頻譜在全球佈建時,中國的手機及網絡應用與服務有可能佔據主導地位,即使被美國排外。中國5G已成功複製先前美國4G的經驗”,基於這些警告,美國最好以傳統方式玩這手牌,例如透過WTO或外國法庭。
和美國相較,歐洲正走一條不同且更小心的路,3月22日召開的歐盟高峰會,國家領導人表達5G網絡安全必須有協同一致的做法,歐盟執委會則建議要有一套作業步驟及措施,以確保整個歐洲有高度的5G網絡安全,焦點在於使用現有的工具,例如認證方案,甚至創造新的工具。各會員國必須實施適用整個歐盟的風險評估,以完成總體5G威脅態勢及全歐盟風險評估;接下來就會確認及採取緩解措施,包括認證要求、測試控制以及鑑定可能不安全的產品及供應商。英國國家網路安全中心在緩解措施方面居領先地位,其具體作為包括供應商選擇(供應商的評估不僅考慮國家別,也包含供應商的管理)及規則,例如要求網絡的每一部分都要有多個供應商;禁止高風險供應商參與敏感功能(例如網路的核心);網絡的設計能夠容納其他裝置(不論供應商是誰);建立連續監控要求等。因此,歐盟會員國應該視5G為建立資通訊供應鏈審查程序的機會,以評估對國家安全的風險,就如同英國已經著手進行的事。
歐洲應該維持設備供應商的公開競爭,並投入資本在歐洲供應商Nokia及Ericsson的傳統技術知識及能力,這兩家公司在下世代核心網絡的設備出現越來越多的需求,因為消費者偏好敏感零件至少要有兩個來源,或者用來替代原有的供應商。此外,歐盟應該努力讓歐洲數位化的工業政策更強固,例如利用篩選外國直接投資,以及對中國非市場常規(例如貿易保護主義工業政策及強迫技術轉移)採取更強硬的立場,歐洲扮演較為強硬的角色可以減緩中美科技對抗帶來的不良效應。
留言列表
歐盟觀點 (3)
