5G供應鏈產業如何因應資安法規新趨勢(上篇)

2020 / 07 / 22

行政院國家資通安全會報技術服務中心(技服中心) 資通安全法律及案例彙編」研究成果撰稿：王偉哲(技服中心) / 審閱：李婉萍(技服中心)

2019年5月，許多國際組織和國家齊聚捷克布拉格，舉辦「布拉格5G安全會議」(Prague 5G Security Conference)，包括歐盟、北大西洋公約組織、美國、德國、日本及澳大利亞等，共同討論應如何維護5G資通安全，會後並提出「布拉格倡議」(Prague Proposals)，做為各國在5G資通安全發展上的參考。

5G系統特性凸顯其資安議題
在5G的建構策略上，布拉格倡議即建議各國在通訊網路與相關服務的建構與相關設計上，應秉持彈性(resilience)與安全(security)的原則，並宜使用國際性的開放標準來進行。布拉格倡議也強調5G供應鏈相關的安全風險(這自然也包括資安風險)議題，並從多個面向提出建議：在政策面，各國應考慮來自他國供應商所帶來的整體風險；在技術面，對供應商的產品進行風險評估時也應納入法規環境等因素加以綜合考量；在經濟面，則建議發展、促成一個使5G供應鏈具備多樣性與可提供替代選擇的市場；在安全方面，則建議重視並評估與供應商、網路技術相關的法治與安全標準是否已確實被遵循。

布拉格倡議上述對5G供應鏈安全的呼籲，其來有自。5G的應用，意味著更快的傳輸速度、更短的反應與延遲時間，以及更多聯網裝置的環境；此外，5G在架構上也更強調以軟體化的方式來管理網路功能，例如以「軟體定義網路」(Software-Defined Networking)，將單一的實體網路切割為複數的邏輯網路來提供服務，以滿足不同應用場景的需求。5G在應用上的優勢與彈性，讓5G比過往的4G或更之前的3G系統，面對更為多元與嚴峻的資安挑戰，因而其供應鏈資安的重要性，自然也更為上升。本文整理了我國重要貿易與發展夥伴美國的相關法規及政策發展情形，期能提供公部門政策制定及產業投入研發與商務拓展資源時之參考，並對相關的議題預做準備。

美國：資安即國安考量下的「不買、不賣、自己來」
美國近年對於5G供應鏈的資安要求，動作頻頻。包括禁止聯邦機構採購特定公司之設備及服務、將多家企業列入出口管制清單等；此外，亦提出國家的5G安全戰略。整體而言這些影響5G的政策，其主要法源依據有三：「國防授權法」(National Defense Authorization Act)、「國際緊急經濟權力法」(International Emergency Economic Powers Act)，以及「安全5G及其他法」(Secure 5G and Beyond Act)，顯示美國為了國家安全與5G之資通安全，在5G供應鏈上所採取之「不買、不賣、自己來」的態度。

不買：禁止向特定公司採購
國防授權法以美國國會每年提出、每年通過的方式，來決定國防預算的規模與用途，從中並可觀察美國對國際情勢的態度。川普於2018年8月簽署2019財政年度國防授權法，禁止各聯邦機構採購、取得特定公司所生產的電信設備及服務，亦不得延長或更新與這些特定公司之間的相關契約。法案中即指明這些特定公司包括華為(Huawei)、中興(ZTE)、海能達(Hytera)、海康威視(Hikvision)、大華科技(Dahua)等公司、其子公司或附屬公司。

依照國防授權法之要求，國防部、總務署及航太總署即將上述公司加入聯邦政府採購規則(Federal Acquisition Regulation，FAR)的限制公務機關採購名單中。

此外，國際緊急經濟權力法授權的「確保資通技術與服務供應鏈安全行政命令」(Executive Order on Securing the Information and Communications Technology and Services Supply Chain) (簡稱供應鏈安全命令)中，亦禁止美國的企業及個人取得、進口對美國有敵意之國家或其他實體，亦即所謂「境外敵意對手」(foreign adversary)所控制的資通技術、設備或服務。

美國總統基於國際緊急經濟權力法，於來自境外的威脅足以對美國的國家安全或經濟等造成危險時，得進行商業管制[i]。而上述供應鏈安全命令之目的，即在避免境外敵意對手，利用其設計、開發或製造之資通技術或服務之資安漏洞，竊取資料或進行網路攻擊。該命令除有上述禁止美國企業及個人交易境外敵意對手所控制之資通產品之規定外，亦授權商務部長訂定境外敵意對手及相關產品之認定方式。商務部目前係根據美國國土安全部所發展的標準，透過個案判斷的方式來決定哪些交易該被禁止。

[i] 註：川普於2020年5月間根據國土安全部等機關之評估意見，認定危險仍持續存在，故相關措施將再繼續執行一年。

更多「資通安全法律及案例彙編」資料，請造訪技服中心網站：https://www.nccst.nat.gov.tw/Law?lang=zh

下回將繼續分享，美國為了國家安全與5G之資通安全，在5G供應鏈上所採取之「不賣的態度」與「自己來的態度」。敬請期待。

5G供應鏈資安網路恐怖分子技服中心駭客