跳到主要内容
高通和5G的迹象在2019年6月28日在中国上海举行的世界移动大会(MWC)上进行了图示。路透社/ Aly Song-RC19526AED60
报告

为什么5G需要新的网络安全方法

竞相保护21世纪最重要的网络

编辑's Note:

汤姆·惠勒(Tom Wheeler)最近出现在Lawfare播客中,与布鲁金斯研究员玛格丽特·泰勒(Margaret Taylor)讨论5G网络的网络安全性。您可以收听播客节目 这里.

唐纳德·特朗普总统说:“ 5G竞赛正在进行,美国必须获胜。” 四月份说。出于政治目的,该“竞赛”已定义为首先构建5G的国家。这是错误的度量。

戴维·辛普森

潘普林商学院教授- 弗吉尼亚理工大学

前公共安全和国土安全局局长- 联邦通信委员会

在部署5G时,我们必须“首先有效地开火”。借用第二次世界大战中提出的哲学上将阿里·伯克(Arleigh Burke)的话:速度固然重要,但如果没有好的定位解决方案,速度可能是灾难性的。1

5G将是对我们必不可少的网络的物理检查,这将产生数十年的影响。由于5G是向几乎所有软件的网络的转换,因此将来的升级将是软件更新,就像当前对智能手机的升级一样。由于软件存在网络漏洞,真正的5G“竞赛”中最难的部分是重新调整我们如何保护21G中最重要的网络。ST 世纪和从该网络中萌芽的设备和应用程序生态系统。

定义我们的生活,经济和国家安全的基本网络和服务永远不会有如此众多的参与者,每个参与者都相互依赖,而这些参与者都不对网络安全承担最终责任。格言“每个人的生意就是没人的生意”从来没有比寻求5G网络安全更合适,更危险。

“但是,在追求互联的未来时,我们必须将同等(甚至更大)的重点放在这些连接,设备和应用程序的安全性上。 ”

乘坐5G网络的新应用程序使新功能成为可能,具有广阔的前景。但是,在追求互联的未来时,我们必须将同等(甚至更大)的重点放在这些连接,设备和应用程序的安全性上。在薄弱的网络安全基础之上构建5G就是在沙子上构建。这不仅关系到网络用户的安全,而且关系到国家安全。

专注于华为

过度关注与美国网络中的华为设备有关的合理担忧,损害了实现最低满意度的5G网络风险成果的有效进展。尽管特朗普政府继续奥巴马时代的优先事项,将华为和中兴排除在国内网络之外,但这只是许多重要的5G风险因素之一。围绕中国设备问题的夸张言论夸大了国家应该将重点放在5G面临的全部网络安全风险因素上。

本文的目的是超越华为的基础设施问题,以复习华为的狂热所掩盖的一些问题。政策领导者应该进行更加平衡的风险评估,并更加关注漏洞,威胁概率以及网络风险方程式的影响因素。在此之后,应该对必要的监督进行诚实的评估,以确保不会因网络漏洞而无法克服5G的前景,网络漏洞是由于匆忙部署而未能充分投资于缓解网络风险的结果。

对减轻5G网络威胁的审查应侧重于5G企业和政府的责任。这应包括对当前基于市场的措施和动机是否可以解决5G网络风险因素以及不足之处进行审查,以及在技术快速变化的时代有针对性的政府干预的适当作用。现在,解决这些问题的时间到了,我们开始依赖不安全的5G服务,而没有计划如何为更大的5G生态系统维持网络就绪状态。

失去主动5G网络安全机会的事后成本将比预先进行网络尽职调查的成本高得多。 2017年的NotPetya攻击 造成100亿美元的企业损失。仅默克,马士基和联邦快递的总损失就超过10亿美元。当然,当时还没有5G网络,但是这种攻击说明了这种入侵的高昂代价,与可能导致人身伤害或生命损失的攻击相比,它显得苍白无力。我们需要建立条件,使所有5G参与者都可以通过预先告知风险的网络安全投资成为明智的业务。

即使我们的网络中没有华为设备,中国也构成威胁。从成功归因于人事管理办公室的高度敏感的安全许可数据泄露(通常归因于中国)到持续的与中国相关的针对受管服务提供商的威胁行动,许多中国最成功的攻击都利用了非安全漏洞。中文应用程序和硬件以及不良的网络卫生状况。这一切都不会因禁止华为而消失。我们不能容忍对中国网络设备的大肆宣传,以使我们陷入对网络安全的错误认识。在互连的网络,设备和应用程序的世界中,每项活动都是潜在的攻击媒介。 5G的性质及其高度可取的属性只会加剧此漏洞。正如刚刚结束的DEFCON 2019(年度道德的“黑客奥运”)所示,全球的黑客(好坏)已经在转向5G生态系统。今年的黑客村的目标包括5G生态系统的关键部分,例如:航空,汽车,基础设施控制系统,隐私,零售呼叫中心和服务台,一般硬件,无人机,物联网和投票机。

5G扩大了网络风险

5G网络比其前身更容易受到网络攻击的五种方式:

  1. 网络已经从集中的,基于硬件的交换转向了分布式的,软件定义的数字路由。以前的网络是轮辐式设计,其中的所有内容都达到了可以实施网络卫生的硬件瓶颈。但是,在5G软件定义的网络中,该活动被向外推送到整个网络中的数字路由器网络,从而消除了检查点和控制的潜力。
  2. 5G通过虚拟化以前由物理设备执行的软件高级网络功能,进一步加剧了其网络漏洞。这些活动基于Internet协议和众所周知的操作系统的通用语言。这些标准化的构建模块协议和系统,无论是由民族国家还是犯罪行为者使用的,都已证明是寻求生病的人的宝贵工具。
  3. 即使有可能锁定网络中的软件漏洞,但网络本身也由易受攻击的软件(通常是早期人工智能)进行管理。获得控制网络管理软件控制权的攻击者也可以控制网络。
  4. 带宽的急剧扩展使5G成为可能,从而创造了更多的攻击途径。从物理上讲,遍布市区的低成本,短距离小蜂窝天线已成为新的硬目标。从功能上讲,这些蜂窝站点将使用5G的动态频谱共享功能,其中多个信息流以所谓的“片段”(每个片段具有不同程度的网络风险)共享带宽。当软件允许网络功能动态变化时,网络保护也必须是动态的,而不是依靠统一的最低公分母解决方案。
  5. 最后,当然是通过将数百亿可黑客攻击的智能设备(实际上是小型计算机)连接到俗称IoT的网络上而造成的漏洞。正在制定计划,以涵盖从公共安全事物到战场事物,从医疗事物到交通运输物的各种,似乎是取之不尽,用之不竭的物联网活动,所有这些活动都是奇妙的,而且非常脆弱。例如,7月,微软报告说 俄罗斯黑客已经渗透了普通的物联网设备 获得访问网络的权限。黑客从那里发现了其他不安全的IoT设备,可以在其中植入开发软件。

第五代网络因此创建了一个大大扩展的多维网络攻击漏洞。网络的这种重新定义的性质(一种新的网络“生态系统的生态系统”)需要类似的重新定义的网络策略。网络,设备和应用程序公司已意识到这些漏洞,并且许多公司无疑正在做出真诚的努力以解决这些问题。本文的目的是提出一套实现网络自足的基本步骤。我们的断言是“把我们带到这里不会使我们到那里。”

可以在澳大利亚最大的电信公司Telstra的安全运营中心看到员工,该公司用于监视,检测和响应包括网络攻击在内的安全事件,该事件发生于2017年8月24日在澳大利亚悉尼市中心举行的媒体活动中。 /汤姆·威斯布鲁克-RTS1D3F6
第五代网络创建了一个大大扩展的多维网络攻击漏洞。因此,这些网络的重新定义性质需要类似的重新定义网络策略。 (图片来源:汤姆·韦斯特布鲁克/路透社)

5G服务提供商是第一个告诉我们5G将支持我们能做的事和如何处理事务的根本性和有益的转变。同时,这些公司公开担心其应对全部网络威胁的能力,并以令人不安的直言不讳地描述了未来的挑战。总统的国家安全电信咨询委员会(NSTAC)由电信行业的领导人组成, 十一月告诉他,“网络安全威胁现在对[n]国的未来构成了生存威胁。”

5G网络的性质加剧了网络安全威胁。在全国范围内,寻求使用5G的消费者,公司和城市都无法评估其威胁。给用户带来安全负担是不切实际的期望,但这是当前网络安全活动的主要宗旨。展望众多公司在5G“生态系统生态系统”中的网络安全角色,发现了不确定的信息。随着5G极大地扩展了连接设备的数量以及依赖5G的活动类别,我们目前的轨迹不会消除网络差距。将中国对美国关键基础设施的技术感染定位为摆在我们面前的基本网络挑战,会进一步加剧这种普遍的不和谐。事实是,这只是其中之一。

到目前为止,我们学到了什么?

5G挑战了我们关于网络安全以及连接到该网络的设备和应用程序的安全性的传统假设。作为联邦通信委员会(FCC)的官员,作者努力应对这些挑战,但只能面对以下挑战:

  • 工业时代的程序法使规则制定活动变得繁琐,而非规则制定活动却没有达到最佳状态。
  • 不良行为者克服解决方案的动机通常大于维持保护的动机。
  • 行业利益相关者担心,恰好在共享攻击信息时才暴露其内部确定的风险因素,这对于集体防御来说具有最大的价值。

同时,最了解网络的人(网络运营商)存在于对于有效降低风险而言并非最佳的业务结构中。根据三年前FCC白皮书得出的结论:

作为私有参与者,ISP(互联网服务提供商,例如5G网络)在经济环境中运营,这些经济环境会对无法带来利润的投资施加压力。一个ISP采取的保护措施可能会因为其他ISP未能采取类似措施而受到破坏。这削弱了所有ISP进行此类保护投资的动力。因此,网络问责制 需要结合基于市场的激励措施和适当的监管监督 市场无法或无法高效完成工作的地方。

联邦通信委员会报告的发现-单靠市场力量并不能解决社会的网络风险利益-突显了该机构主要管辖权的ISP。该报告还研究了更大的生态系统,并得出结论,当消费者不将购买决策与网络风险结果联系在一起时,解决问题的动力通常会变差。不幸的是,情况经常如此,因为服务提供商以及设备和应用程序供应商没有公开有意义的安全区分符,也没有在任何可验证的安全指标上竞争。

“这些都没有表明我们暂停向5G的利益迈进。但是,这确实表明我们应对5G的现状方法提出了挑战。”

例如,在2016年,黑客通过控制视频安全摄像机和数字录像机主板中的数百万种低成本芯片来关闭互联网的主要部分。互联网可能以这种方式受到攻击反映了数字供应链的现实:由于消费者在购买低成本连接设备的决策中没有考虑网络安全性(这是攻击的手段,而不是攻击的目标),因此零售商没有这么做。 •在决定库存商品时将安全放在首位。结果,制造商没有在购买的组件中强调网络功能,因此芯片和主板制造商的产品中没有网络保护功能。没有一家公司为维持购买后产品的网络就绪状态而为自己定义角色,并且总体上仍然如此。

新的垂直行业正在将基于5G的功能推向诚信努力不足的市场。没有证据表明设备和应用程序供应商的业务优先级与FCC报告中归因于网络运营商的业务优先级有任何不同。一种 2018年报告 特朗普政府’例如,美国经济顾问委员会警告说:“相对于社会最优投资水平,私营部门对网络安全的投资不足。”

这些都没有表明我们暂停向5G的利益迈进。但是,这确实表明我们应对5G的现状方法提出了挑战。继续跟不上当今网络风险的企业和政府政策对于大量扩展可攻击网络和5G网络数据表面而言,并不是好兆头。迫切需要协调努力以实现目标明确的期望。

赢得真正的“ 5G竞赛”的两个关键

真正的“ 5G竞赛”是21国中最重要的网络ST 世纪将足以实现其技术承诺。是的,快速实施很重要,但是安全性至关重要。要回答这个最重要的问题,企业和政府都需要做出新的努力,并且两者之间必须建立新的关系。

以下建议既重要又并非没有代价。通常情况下,这样的建议可能被认为与传统做法大相径庭。但是,这不是正常时间。网络定义了依赖5G和其他新数字途径的未来前景。我们的民族已经进入民族国家及其代理人的非运动战争和犯罪活动的新时代。这一新现实证明了以下公司和政府的行动。

关键1:公司必须认识到新的网络谨慎义务并对其承担责任

这项由两部分组成的提案中的第一个提案是建立一种基于奖励的(而不是惩罚驱动的)激励机制,以鼓励公司遵守“网络谨慎职责”。传统上,普通法规定,提供产品和服务的人员有责任谨慎识别并减轻可能造成的潜在危害。需要有一种新的公司文化,在这种文化中,网络风险被视为一项基本的公司职责,并通过货币,监管或其他形式的适当激励措施予以奖励。此类激励措施将要求遵守网络卫生标准,如果该标准得到满足,将赋予该公司与其他违规实体不同的待遇。这种网络注意义务包括以下内容:

  • 扭转对减少网络风险的长期投资不足

今天的主动网络投资是例外,而不是规则。对于上市公司而言,美国证券交易委员会(SEC)和其他机构正在推动从公司董事会级别一直到管理层的变革。但是,规模较小的公司仍然是网络攻击最喜欢的切入点,其中许多公司不在这些工作范围之内。不幸的是,SEC的努力 仅影响不到公开拥有的美国公司的10%。至少,如果公司在关键基础设施中扮演重要角色,或者提供的产品或服务受到攻击,可能会危害公共安全,则必须期望网络安全风险得到积极解决。2

  • 实施机器学习和人工智能保护

5G网络攻击将是软件攻击;必须使用软件保护来应对它们。在布鲁金斯召开的有关5G网络安全的讨论中,一位与会者指出,“我们正在与人打架软件”,而攻击者是机器。在需要整体方法和在整个环境中保持一致的可见性时,这种方法就像“在单独的,分散的环境部分中观察苏打水”。计算机驱动的网络攻击的速度和广度要求在供应链的各个层面上计算机驱动的保护的速度和广度。

  • 从网络准备的滞后指标(攻击后)转变为领先指标

A 2018年白宫报告 发现对网络事件的“普遍”报道不足,“阻碍了所有参与者有效且立即做出响应的能力。” 5G网络领域需要采用领先的指标方法,以在相互依赖的商业公司之间以及与负责监督职责的政府实体之间沟通网络准备情况。有很多很好的例子可以借鉴。对于网络成熟的公司及其供应链,共享的网络风险评估越来越成为一种最佳实践。几家会计和保险公司已经开发了领先指标,以告知减少网络风险的投资并承保政策。国土安全部制定了弹性自我评估标准,以激励社区长期备灾。3 这种模型应该扩展到5G网络领域,以便将监督从滞后指标转变为领先指标。

使用网络安全领先指标与董事会和监管机构进行定期交往的计划将建立信任关系,加快弥合5G就绪差距,并在网络攻击者成功后带来更具建设性的结果。应该解决2018年白宫报告中强调的滞后指标报告不足的问题,但其主要目的是关闭反馈回路,提高领先指标的质量以及所提供的投资决策流程。

  • 网络安全始于5G网络本身

虽然许多建设5G的大型网络提供商正在向网络投入大量资源,但为农村地区的中小型无线ISP提供服务的理由却难以合理化。其中一些公司的员工人数少于10人,负担不起专门的网络安全官或24/7全天候网络安全运营中心。他们仍将提供5G服务并与5G网络互连。这些公司中约有三分之一忽略了政府关于使用华为设备的警告,现在正在请国会为他们的错误决定付费,并为更换非中国设备付费。任何替换都必须包括对公司将建立足够的网络安全流程以维持保护的期望。提供5G的所有网络(无论是大品牌,小型本地公司,无线ISP还是市政宽带提供商)都必须具有积极的网络保护计划。

  • 将安全性纳入开发和运营周期

对于许多应用程序开发人员而言,敏捷开发的核心宗旨一直是冲刺,以部署最低限度的可行产品,承担风险,并承诺一旦产品获得关注,便在以后提供由消费者反馈驱动的升级。软件公司以及提供基于软件的创新产品和服务的公司已开始在此过程中插入网络安全,作为每个新项目的设计,部署和维护考虑。在新兴的5G环境中,这种设计上的安全性应该是整个商业领域中对创新的最低谨慎义务。

  • 最佳实践

美国国家标准技术研究院(NIST)网络安全框架 已经建立了五个最佳实践网络安全管理领域,这些领域可以成为行业最佳实践的基础:识别,保护,检测,响应和恢复。例如,NIST的“识别”计划重点在于确定公司的网络领域,威胁和漏洞,以识别减少网络风险的投资。不仅限于NIST框架,国会还应建立网络安全标准,该标准应具有预期的性能并伴随着各种激励措施,以供公司采用。虽然行业制定的最佳做法是朝正确方向迈出的一步,但它们的强大程度仅与行业中最薄弱的环节一样强大,并继续给知情不明的消费者带来负担,让他们知道最佳做法是否得到了满足。消费技术协会(CTA)代表着价值3770亿美元的美国消费技术行业,它帮助生产了 反僵尸网络指南 概述了设备制造商的最佳做法,但是消费者无法轻松判断是否遵循了该做法。

“虽然行业开发的最佳实践是朝正确方向迈出的一步,但它们的强大程度仅与行业中最薄弱的环节一样强大。”

不幸的是,发布可选的网络安全最佳实践而没有行业的全力支持可能是对负责任的行为和良好的公共关系的尝试,但通常并不能改变网络风险。虽然CTA还发布了有用的购买者指南,以解释网络风险问题并改善家庭网络卫生状况,但人们仍想知道有多少低成本网络连接技术的消费者知道它的存在。将网络风险负担转移到消息不灵的消费者身上,效用有限。 5G商业部门需要认识到基于消费者的行动的局限性,承担剩余风险,并与政府监督一起确定跨部门的缓解责任。

关键2:政府必须建立新的网络监管范式以反映新的现实

当前针对政府机构的程序规则是在工业环境中制定的,在这种工业环境中,创新和变革(更不用说安全威胁)发展得较为缓慢。数字创新和威胁的快速发展要求企业与政府关系的新方法。

  • 与受监管者之间更有效的监管网络关系

网络安全很难,我们不应该假装。按照目前的结构,政府在应对威胁和确定详细的标准或合规性措施方面并不处于优势地位,因为技术和对手的活动变化如此之快。应开发一种新的网络安全监管范式,以寻求降低监管机构与其监管的公司之间可能形成的对抗关系。这将取代工业时代遗留下来的详细合规性说明,而由监管机构和提供商之间定期且繁琐的网络安全合作来承担最大风险,这些风险由关键性,规模(影响)或围绕网络谨慎职责建立的已证明问题(漏洞)确定。该计划旨在奖励参与者组织的行业,并在未能解决风险因素之前明确投资。

相反,在行业忽视网络风险因素的情况下,渐进式的监管激励措施可以改变公司的风险计算方式,以解决消费者和社区的担忧。这些活动将被保密,不会被自己用来发现违规行为,而是帮助监管机构和被监管者更好地发现趋势,最佳做法,并集体和系统地改善其部门应对网络风险的方法。国土安全部可以为此提供支持,但归根结底,安全性,创新,公司手段和市场因素之间的平衡本质上是法规。由于缺乏做出决定的能力,政府的介入只能是徒劳的。

  • 认识市场缺陷

经济力量驱动着企业行为。当然,还有与网络安全相关的底线成本。但是,即使是自愿产生的此类费用,也可以由不付出任何努力的另一家公司撤消其收益。本文的两条建议中的第一条建议建议公司可以采取哪些措施来行使其网络谨慎职责。然而,历史表明,伴随这种努力的胡萝卜经常需要备用棍棒的说服。这仅对那些加紧责任的公司是公平的,不应由不加价的公司在市场上受到惩罚。基于奖励的政策将扩大参与医疗网络义务的价值,尤其是在其他方面达不到要求时。它还将提供降低风险的前瞻性动机,并在不断发生违规时提供更有用的反馈循环。

  • 消费者透明度

消费者几乎没有意识,也没有洞察力来做出明智的市场决策。这种情况类似于导致建立食品营养标签的力量。应当为消费者提供做出明智决定的工具。有关网络风险或“保险商实验室”自我认证的网络版本的“营养标签”将有助于使所有各方将注意力集中在其重要性上。

  • 检查和认证连接的设备

多年来,FCC一直监督一项计划,以证明发射无线电信号的设备不会干扰该国无线电波的授权使用。无论是手机,婴儿监视器,电子电源还是Tickle Me Elmo,FCC均确保发射设备的设计和组装符合标准。然后,行业组织其下的结构以一种成本有效的方式对设备进行自我认证,并将其植入生产和分销过程。在2016年DYN攻击控制了数百万台摄像机的时候,作者提出了一种类似的方案来审查所连接设备的网络安全性。如果我们保护无线电网络不受有害设备的侵害, 为什么我们不保护我们的5G网络 来自易受网络攻击的设备?

  • 合同还不够

行政部门和立法部门都致力于使用政府收购标准和探路者合同来施加网络安全要求,从而使政府合同可以迫使商业行为。这是一种重要的,经过验证的做法,但只能走得很远。联邦采购政策并未涉及非政府供应商,因为它们在互连的网络中仅通过连接到网络便会造成严重破坏。大多数中小型5G网络提供商不受这些政府合同的约束。

  • 刺激5G供应链差距的缩小

多年来,政府对并购的审查通常未能理解对关键供应链的潜在负面影响。将公司和流程转移到境外或由外国拥有/控制的合资企业转移,在关键5G组件的供应和缺乏国内采购选择方面造成了批发缺口。对原籍国/所有权的担忧必须与导致离岸采购决策的公司演算以及首先导致破坏国家能力的市场条件相关。 5G供应链市场分析必须持续进行,监管机构,行业以及行政和立法部门之间应定期进行接触,以适当地激励具有全球竞争力的国内采购替代方案。

  • 重新参与国际机构

目前,5G的标准制定过程由3rd 第三代合作伙伴计划(3GPP)是一个行业组织,根据包括中国5G设备公司在内的成员的意见,以协商一致的方式做出决策。 (据报道,华为 为5G标准做出了最大贡献)。奥巴马FCC直接与3GPP合作,确定适用于美国市场的公共安全和网络安全风险考虑因素。此外,它还发出了询问通知书,询问美国最优秀的技术人才如何在开发和部署周期中实施网络安全风险降低。此举遭到了一些行业协会和共和党委员的反对。特朗普政府成立后不久,新的FCC取消了奥巴马FCC的网络计划。

联邦通信委员会总部
联邦通信委员会应该重新参与第三代合作伙伴计划等国际机构,以在有关5G网络安全的全球辩论中拥有更多的代理机构。 (来源:FCC /美国政府工作)

为了优先考虑网络安全,需要在5G行业的设计和部署周期的早期就通知第三方监督。国家,我们的社区和我们的公民应(通过政府)在此过程中具有一定程度的代理权。 联邦通信委员会和商务部应以观察者利益相关者的身份参加3GPP和美国馈线组织。这样可以在不更改标准制定的基本管理的情况下,尽早发现问题并提出疑虑。美国公民代表应可选择在国家安全和公共安全问题上加深参与。

结论

当前由共和党领导的美国参议院认为有必要 引入立法 指示特朗普政府“制定一项战略,以确保下一代移动电信系统和基础设施的安全。” 5G网络安全威胁是整个国家的危险。我们不应该感到自满,因为网络的新颖性掩盖了威胁。我们决不能将5G网络安全与国际贸易政策混淆。国会不必通过立法指示特朗普政府对5G网络安全采取行动。整个国家的危机需要围绕信息时代的现实而不是公式化的自由放任的政治哲学或工业时代的结构建立的整个经济和整个政府的回应。

参加布鲁金斯5G网络安全圆桌会议的一位专家提出的严厉警告是:“随着我们越来越多地将维持生命的设备连接到互联网,人们将处于危险之中,甚至可能死亡。”这种冷酷的现实是因为互联网与人们及其所依赖的事物的连接将越来越多地通过脆弱的5G网络进行。暴露在消费者意识表面之下的网络冷战加剧了这种风险。

早期的网络攻击针对的是知识产权,勒索和被黑的数据库。如今,随着民族国家行为者及其代理人在我们国家关键基础设施中立足以建立等待中的攻击平台,风险甚至更高。任何基于风险的理性评估都表明,最受敌手的目标是我们的商业部门。提供关键网络基础设施或提供与其连接的产品或服务的公司,代表了正在进行的网络冷战中可能的,潜在的,最危险的敌对行动。

前海军陆战队司令罗伯特·内勒(Robert Neller)将军说:“如果你问我我是否在战争中,我想我会同意。” 二月份告诉听众。 “我们现在在网络空间中处于战争状态。 ……他们每天都在城堡的墙壁上倾泻。”毫无疑问,尽管我们的对手看到了引人注目的直接攻击的积极成果,但他们也通过稳定的低级攻击步伐完善了风险较低的积极成果,目的是削弱美国公众对我们的网络关键基础设施和数字经济的信心它支撑。低强度的网络战争已经在持续进行,因为我们的对手在这些攻击中冒着很小的风险,并且有望从中受益。

基于分布式体系结构的基于软件的网络已经进入了这种攻击环境。 5G网络本身的软件操作本身就很脆弱,并且其分布式拓扑结构排除了早期网络所提供的集中式阻塞点,因此,5G网络将很容易受到攻击。鉴于对国家的网络威胁来自商业网络,设备和应用,我们的5G网络重点必须始于那些参与新网络,其设备和应用的公司的责任。对参与5G服务的人员的网络义务是此类主动责任的开始。

“是的,5G的“竞赛”已经开始,但这是一场确保我们国家,经济和公民安全的竞赛。”

同时,联邦政府有责任为5G公司提供激励措施,使其专注于他们创建的网络漏洞。当公司或市场可能缺乏动机来优先考虑最大程度的网络工作时,尤其如此。如本文所述,这将有必要用更具创新性和敏捷性的方法来解决共同问题,从而取代政府与企业之间僵化的工业时代关系。

是的,5G的“竞赛”已经开始,但这是一场确保我们国家,经济和公民安全的竞赛。

现在是两党呼吁采取行动的时候,不仅要解决当前的5G暴露问题,而且要解决导致网络就绪差距持续扩大的结构性缺陷。让我们来到这里的原因不会使我们走向安全的支持5G的未来。

汤姆·惠勒(31岁)ST 2013年至2017年担任FCC主席。目前,他是布鲁金斯学会(Brookings Institution)的客座研究员。海军少将戴维·辛普森(USN)于同一时期担任FCC公共安全和国土安全局局长。目前,他是Virginia Tech的Pamplin商学院的教授。


布鲁金斯学会是一家致力于独立研究和政策解决方案的非营利组织。它的任务是进行高质量的独立研究,并在此基础上为决策者和公众提供创新,实用的建议。任何布鲁金斯出版物的结论和建议仅是其作者​​的结论和建议,并不反映该机构,其管理层或其他学者的观点。

Microsoft向布鲁金斯学会提供一般,不受限制的支持。本文中的发现,解释和结论不受任何捐赠的影响。布鲁金斯意识到,其提供的价值在于对质量,独立性和影响力的绝对承诺。捐助者支持的活动反映了这一承诺。

脚注

  1. 美国海军陆战队小队长韦恩·休斯(美国), 舰队战术和沿海作战, 2nd 编,美国海军研究所出版社,2000年,第40-44页
  2. Gordon,L.A.,Loeb,M.P.,Lucyshyn,W.和Zhou,L.(2015)。外部性和私营企业对网络安全投资不足的程度:对Gordon-Loeb模型的修改。 Journal of Information Security,6,24-30。 http://dx.doi.org/10.4236/jis.2015.61003
  3. 尽管作者不想低估与NIMS自我评估模型相关的缺陷,也缺乏联邦政府在区域一级评估实际NIMS实施的参与度,但我们确实要指出,十年来,NIMS成功地建立了一个共同点。语言和投资框架,可长期稳定地提高全国10,000多个司法管辖区的弹性。
获取布鲁金斯的每日更新