移动网络承载着全球大量的数字活动,这使得运营商成为网络攻击的常见目标。全球移动通信系统协会(GSMA)发布的一项研究显示,运营商每年在核心网络安全功能上的支出在150亿至190亿美元之间。到2030年,这一支出可能超过400亿美元。这些数字还不包括与网络弹性、培训或治理相关的支出。
攻击数量激增考验移动网络安全
安全团队面临的攻击量远超十年前的预期。一些运营商每年记录到数十亿次攻击尝试,这些攻击旨在扫描漏洞或向其网络推送恶意流量。与拒绝服务攻击相关的网络中断仍然屡见不鲜,而未经授权的访问尝试也在持续增加。
移动接入的经济作用加剧了这种压力。在许多国家,移动网络是人们获取金融服务、公共门户网站或医疗系统的主要甚至唯一途径。一次安全漏洞就可能中断这些服务,并损害公众信任。这种风险影响着运营商的投资方式以及他们如何应对监管预期。
复杂的规则会造成摩擦
在大多数市场,安全义务并非源自单一法律。它们分散在电信牌照、国家网络安全法规、数据保护法、云政策以及某些地区的AI法规中。运营商往往需要多次满足同一要求的不同版本,而这些版本的定义和时间节点各不相同。这会造成摩擦,并耗费安全团队大量时间。
移动网络安全压力
移动运营商面临多重重叠的监管,这些监管都会影响网络安全。
在某些市场,同一事件的不同部分可能由不同的机构负责监管。涉及个人数据的泄露可能需要一种披露形式,而服务中断则可能需要另一种。每项请求都有其自身的格式和流程。一些运营商表示,即使是轻微事件,他们的团队也需要花费大量时间为各个机构准备报告。
跨境差异加剧了负担。同一区域内的国家可能对共同框架有不同的解读。这迫使运营商为每个市场维护单独的合规流程,从而增加成本并延缓决策。
输入驱动规则将关注点从风险转移到其他方面
许多监管框架侧重于必要的控制措施,而非安全结果。运营商表示,这可能导致一种"走过场"的心态,虽然满足了合规要求,但对降低风险却收效甚微。
有些审计工作即使存在更新或更合适的替代方案,也会检查特定技术。一些机构会发出与威胁无关的计划外信息请求。这些任务会扰乱安全团队内部的既定工作,使他们难以专注于检测或响应。
基于结果和基于风险的规则更容易融入安全方案。它们让运维人员能够根据自身网络选择合适的工具和实践。此外,它们还能降低团队将资源浪费在对网络韧性影响有限的活动上的可能性。
当框架保持一致时,运营商会受益
适用于关键基础设施领域的横向网络安全法律为保护工作提供了一个共同的基准。当与特定行业的指导意见相结合时,便能构建一个更易于更新和解读的框架。
当各国规则与之对应时, ISO 27001等全球标准可以减少重复劳动。运营商可以通过现有流程来证明合规性,而无需为每个市场创建新流程。这种方法也有助于为跨区域多家运营商提供支持的供应商和合作伙伴。
运作良好的机构同样至关重要。明确的职责范围和相应的专业知识能够确保监督工作的可预测性。而职责范围薄弱或不明确则会适得其反,往往导致相互冲突的要求或执法不力。
"网络安全是共同的责任。为了保护公民和关键的社会服务,监管机构和运营商应该在共同原则的指导下携手合作。当政策协调一致且以结果为导向时,整个数字生态系统就会变得更加安全," GSMA政策与监管主管米凯拉·安戈纽斯表示。
对各市场的影响不均衡
中低收入国家的运营商面临着特殊的压力。在这些市场,移动接入往往取代了固定宽带。移动接入还支持移动支付、政府服务和远程办公。但这些地区的运营商通常报告称,每用户收入较低,这限制了可用于安全方面的投资。
当监管要求不断提高却不考虑当地实际情况时,这些运营商可能难以跟上步伐。这会在全球系统中造成薄弱环节,攻击者会寻找入侵互联网络的最便捷途径。
支持政策一致性的原则
该研究为政策制定者概述了六项原则,包括与全球标准接轨、减少重复、以结果和风险为中心制定规则、改善信息共享、促进安全设计以及建立强大的机构来执行这些原则。
每项原则都支持同一个理念。运营商需要定义明确、适度且稳定的规则。当框架满足这些条件时,运营商就能将精力投入到降低风险的措施上,而不是浪费时间在繁琐的程序性工作上。