Hướng dẫn an toàn mạng 5G của EU
Ngày 29/01/2020, Liên minh Châu Âu (EU) đã công bố hướng dẫn bảo mật cho mạng 5G có tên "Secure 5G deployment in the EU - Implementing the EU toolbox", nhằm mục đích giảm thiểu rủi ro mất an toàn mạng cho EU và các quốc gia thành viên EU trong quá trình triển khai mạng 5G.
Hướng dẫn nhấn mạnh, các quốc gia thành viên cần đánh giá rủi ro từ các nhà cung cấp hạ tầng mạng 5G. Nếu nhà cung cấp có mức độ rủi ro cao thì phải có chính sách hạn chế hoặc loại khỏi danh sách cung cấp cho hệ thống mạng lõi mạng viễn thông 5G. Các quốc gia thành viên cũng cần xây dựng chiến lược để đảm bảo đa dạng các nhà cung cấp thiết bị, tránh phụ thuộc quá mức vào một nhà cung cấp nào đó.
Hướng dẫn của EU được chia thành 6 phần như sau:
Phần 1: Giới thiệu
Ủy ban Châu Âu (European Commission - EC) đánh giá, mạng 5G sẽ đóng vai trò quan trọng cho sự phát triển kinh tế - xã hội của EU, là nền tảng cho chuyển đổi kỹ thuật số, phát triển công nghiệp xanh trong các lĩnh vực giao thông, năng lượng, sản xuất, y tế, nông nghiệp và truyền thông.
Mạng 5G sẽ có tác động toàn diện đến hầu hết mọi khía cạnh cuộc sống của người dân EU. Do đó, đảm bảo an toàn mạng 5G không chỉ là bảo vệ cho hoạt động kinh tế, trật tự xã hội và dân chủ của EU, mà còn là nền tảng để đảm bảo chuyển đổi kỹ thuật số thành công của các nước thành viên EU.
Phần 2: Ra mắt mạng 5G tại EU
Theo đánh giá của EC, việc triển khai hạ tầng mạng 5G có vai trò quan trọng đối với chiến lược phát triển công nghiệp và khả năng cạnh tranh của EU. Đây là động lực để phát triển các dịch vụ kỹ thuật số trong tương lai.
Các quốc gia thành viên EU đã phân bổ những dải tần đầu tiên cho triển khai 5G và đặt mục tiêu, kế hoạch ra mắt dịch vụ thương mại mạng 5G, cung cấp hỗ trợ tài chính cho triển khai mạng 5G. Đến cuối năm 2020, EU dự kiến sẽ có 138 thành phố thuộc các nước thành viên đi đầu trong cung cấp dịch vụ 5G.
Phần 3: Đánh giá rủi ro bảo mật mạng 5G của EU
Đầu tháng 7/2019, các quốc gia thành viên đã hoàn thành đánh giá rủi ro hạ tầng mạng 5G, gửi kết quả tới EC và Cơ quan An ninh mạng châu Âu (European Union Agency for Cybersecurity - ENISA).
Ngày 09/10/2019, các quốc gia thành viên đã công bố Báo cáo đánh giá rủi ro an toàn mạng 5G. Báo cáo đánh giá những tác động chính của việc triển khai mạng 5G như sau:
Thứ nhất, những thay đổi của công nghệ mạng 5G sẽ làm gia tăng nguy cơ và số lượng các cuộc tấn công mạng. Tính năng nâng cao ở vùng biên mạng và kiến trúc ít tập trung hơn (so với các thế hệ mạng di động trước) làm cho một số chức năng của mạng lõi được tích hợp trong các thành phần khác của mạng 5G, khiến các thiết bị tương ứng trở nên nhạy cảm hơn. Ngoài ra, số lượng phần mềm trong các thiết bị mạng 5G tăng lên, dẫn đến các rủi ro liên quan đến phát triển và nâng cấp phần mềm. Do đó, các nhà cung cấp mạng 5G sẽ phải thận trọng hơn trong việc lựa chọn đối tác và sản phẩm kỹ thuật.
Thứ hai, mạng 5G có nhiều đặc điểm kỹ thuật mới được cung cấp bởi bên thứ 3, dẫn tới sự phụ thuộc của các nhà mạng. Do đó, vai trò của bên thứ ba trong chuỗi cung ứng 5G trở nên quan trọng hơn bao giờ hết. Trên thực tế, trong môi trường mạng 5G, các nhà cung cấp bên thứ ba dễ bị tấn công hơn.
Thứ ba, việc phụ thuộc quá nhiều vào một nhà cung cấp thiết bị sẽ làm tăng rủi ro của nhà mạng, tăng khả năng dễ bị tổn thương của hạ tầng mạng 5G, đặc biệt nếu nhà cung cấp mạng 5G có mức rủi ro cao về bảo mật.
Thứ tư, mạng 5G dự kiến sẽ trở thành xương sống của nhiều ứng dụng quan trọng. Vì vậy, tính toàn vẹn và tính sẵn sàng của mạng 5G trở thành vấn đề bảo mật lớn của các quốc gia thành viên EU.
Trong báo cáo đánh giá rủi ro của EU kết luận rằng, những thách thức này đã tạo ra một mô hình bảo mật mới. Chính vì vậy, cần kiểm tra lại khung chính sách, bảo mật và hệ sinh thái của mạng 5G để có biện pháp giảm thiểu rủi ro cần thiết.
EC cũng cho rằng, để giảm thiểu rủi ro, tăng cường khả năng bảo mật và khả năng phục hồi của mạng 5G, cần có một phương pháp chung và toàn diện.
Phần 4: Hộp công cụ bảo mật mạng 5G của EU
Nhóm hợp tác an ninh mạng và hệ thống thông tin của EU (NIS) đề xuất nhóm các giải pháp chiến lược và kỹ thuật để giảm thiểu rủi ro cho mạng 5G của EU. Các biện pháp chiến lược bao gồm: tăng thẩm quyền cho các cơ quan quản lý về việc xem xét đầu tư và triển khai mạng 5G; giải quyết những rủi ro liên quan đến các lỗ hổng phi kỹ thuật; các sáng kiến nhằm thúc đẩy chuỗi cung ứng mạng 5G bền vững và đa dạng; Các biện pháp kỹ thuật bao gồm biện pháp tăng cường bảo mật nhằm đối phó với các rủi ro gây ra bởi các yếu tố kỹ thuật, quy trình, con người.
Trong đó, hộp công cụ bảo mật của EU đề xuất kết hợp các biện pháp như sau:
Thứ nhất, các quốc gia thành viên EU cần đảm bảo rằng, họ đã áp dụng các biện pháp để đối phó với những rủi ro hiện tại và rủi ro phát sinh trong tương lai. Đặc biệt, các thành viên phải đảm bảo tuân thủ theo phương pháp trong báo cáo phân tích rủi ro. Vì lý do an toàn, có thể hạn chế, cấm hoặc đưa ra các yêu cầu cụ thể cho các đối tác cung cấp, triển khai, vận hành thiết bị mạng 5G. Cụ thể:
- Nâng cao yêu cầu bảo mật cho các nhà mạng di động, như: hạn chế truy cập, xây dựng bộ quy tắc bảo mật và giám sát,…
- Đánh giá rủi ro về các nhà cung cấp thiết bị, loại trừ những nhà cung cấp có mức rủi ro cao (nhất là liên quan đến các chức năng mạng lõi, chức năng điều phối, quản lý mạng và chức năng truy cập mạng).
- Đảm bảo mỗi nhà mạng di động có nhiều đối tác cung cấp chiến lược để tránh phụ thuộc vào một nhà cung cấp (hoặc nhà cung cấp có rủi ro cao), đảm bảo cân bằng ở cấp độ quốc gia. Điều này cũng ngăn chặn được việc nhà mạng di động phụ thuộc vào một nhà cung cấp thiết bị duy nhất.
Thứ hai, EC cần làm việc với các quốc gia thành viên để góp phần duy trì chuỗi cung ứng mạng 5G đa dạng và bền vững, tránh phụ thuộc lâu dài vào một bên cung cấp, cụ thể như sau:
- Sử dụng đầy đủ các công cụ và phương pháp hiện có, đặc biệt là bằng cách sàng lọc đầu tư trực tiếp nước ngoài (Foreign Direct Insertment - FDI) liên quan đến cung cấp thiết bị 5G, tránh sự biến dạng của thị trường cung cấp do bán phá giá hoặc trợ cấp giá.
- Thông qua các kế hoạch và quỹ của EU nhằm tăng cường năng lực của EU đối với công nghệ 5G và sau mạng 5G trên khía cạnh nghiên cứu và sản xuất.
- Đẩy mạnh hợp tác giữa các quốc gia thành viên EU trên lĩnh vực tiêu chuẩn hóa để đạt được mục tiêu an toàn cụ thể; xây dựng tiêu chuẩn chung EU để thúc đẩy các sản phẩm và quy trình an toàn hơn.
Thứ ba, để việc hợp tác được hiệu quả nên kéo dài thời gian làm việc của Nhóm hợp tác NIS, đồng thời mở rộng hợp tác với các tổ chức, chủ thể có liên quan khác; thường xuyên thẩm tra các báo cáo đánh giá rủi ro bảo mật của EU và các quốc gia thành viên về mạng 5G và sau mạng 5G; thích ứng kịp thời với sự phát triển không ngừng của công nghệ 5G; tiếp tục cải tiến, hoàn thiện các phương pháp đánh giá đã áp dụng.
Việc đưa ra Hộp công cụ bảo mật của EU cho thấy quyết tâm của các quốc gia thành viên EU trong việc cùng nhau giải quyết những thách thức bảo mật của mạng 5G. Hộp công cụ cho phép EU áp dụng cách tiếp cận an toàn mạng 5G chung, đảm bảo tính đồng nhất của thị trường nội khối.
Phần 5: Triển khai Hộp công cụ bảo mật mạng 5G của EU
Đánh giá thống nhất đối với rủi ro của các nhà cung cấp mạng 5G
Để đảm bảo an toàn và khả năng phục hồi của mạng 5G, các quốc gia thành viên EU nhất trí rằng, cần phải tiến hành đánh giá rủi ro của từng nhà cung cấp riêng lẻ. Đối với những đối tác cung cấp có mức rủi ro cao, phải áp dụng biện pháp hạn chế hoặc loại trừ khi cần thiết. EC ủng hộ các quốc gia thành viên thực hiện các biện pháp này.
Việc đánh giá rủi ro của một nhà cung cấp thiết bị mạng 5G được thực hiện dựa trên nhiều tiêu chí khác nhau về bảo mật và phải đảm bảo tính khách quan. Để áp dụng phương pháp đánh giá thống nhất, EC khuyến nghị các quốc gia thành viên cần trao đổi với nhau về thông tin và cách làm.
Một trong những vấn đề quan trọng là phải thực hiện các biện pháp kịp thời nhằm hạn chế những nhà cung cấp có rủi ro cao. Thực hiện việc này càng sớm sẽ cải thiện khả năng dự báo của các nhà mạng EU, từ đó giúp triển khai nhanh chóng mạng 5G, đảm bảo an toàn lâu dài cho mạng 5G và khả năng phục hồi của chuỗi cung ứng mạng 5G.
Ngoài ra, do sự phức tạp của phần mềm mạng 5G, các nhà mạng sẽ phụ thuộc nhiều hơn vào bên thứ ba trong việc thực hiện một số nhiệm vụ như bảo trì, nâng cấp mạng và phần mềm mạng 5G. Đây trở thành rủi ro bảo mật nghiêm trọng của mạng 5G.
Phát huy vai trò của EC trong triển khai Hộp công cụ bảo mật
Theo đó, EC sẽ thực hiện 02 biện pháp sau đây:
Thứ nhất, duy trì bảo mật mạng 5G và chuỗi giá trị 5G đa dạng, thông qua: hợp tác an toàn mạng; áp dụng quy tắc viễn thông và an toàn mạng; tiêu chuẩn hóa; cấp chứng nhận; sàng lọc đầu tư trực tiếp nước ngoài; sử dụng công cụ phòng vệ thương mại; áp dụng các quy tắc cạnh tranh; triển khai các chương trình tài trợ của EU; mua sắm công; ứng phó sự cố, quản lý khủng hoảng và diễn tập trên mạng; khung phản ứng ngoại giao chung của EU đối với các hành vi nguy hiểm trên mạng.
Thứ hai, đẩy mạnh đổi mới, đầu tư vào lĩnh vực công nghệ hạ tầng viễn thông 5G và bảo mật cho mạng 5G. Trong ngân sách của EU giai đoạn năm 2021 - 2027, EC đề xuất khoản đầu tư gần 3 tỷ euro vào công nghệ an toàn mạng. Ngoài ra, theo kế hoạch “Chương trình Khung về Nghiên cứu và Đổi mới sáng tạo của Hội đồng châu Âu” (Horizon Europe) giai đoạn tiếp theo, EC đề xuất hợp tác với các công ty và các quốc gia thành viên nhằm thiết lập quan hệ đối tác được thể chế hóa, hoàn thiện kế hoạch triển khai mạng 5G và chuẩn bị cho công nghệ di động 6G, tương ứng với ngân sách đầu tư hơn 7,5 tỷ euro giai đoạn 2021-2027.
Phần 6: Kết luận
Mạng 5G sẽ mang lại nhiều cơ hội cho người dân, xã hội và nền kinh tế các nước thành viên EU. Do đó, đảm bảo an toàn và tăng khả năng phục hồi của mạng 5G là vấn đề quan trọng. Bỏ qua vấn đề an toàn mạng sẽ làm suy giảm niềm tin vào nền kinh tế kỹ thuật số của EU, hạn chế các lợi ích từ thành quả mạng 5G. Cách tiếp cận hệ thống của EU đối với an toàn mạng 5G đảm bảo chủ quyền công nghệ của EU. Trong khi đó, EC vẫn đảm bảo rằng thị trường EU mở cho các sản phẩm và dịch vụ đáp ứng các yêu cầu về an ninh mạng.