2019年11月30日

黃伯農

歐盟對5G網絡安全的研判

10月上旬，歐盟屬下NIS Cooperation Group發表報告，研判5G網絡安全。由於NIS Cooperation Group由歐盟各國網絡安全官員、歐盟安全聯盟委員會（EU Commission of Security Union）和歐盟網絡安全局（EU Agency for Cybersecurity）組成，報告具影響力。

本文梳理報告的研判發展背景和重點。指出歐盟警惕到境外「第三者國家」（third-party country） 的5G技術供應商會帶來安全風險。

因為歐盟並非單一電訊市場，所以不能要求成員國履行和統一電訊政策。歐洲國家們便須有機制協調發展5G網絡安全措施。

協調發展減低風險措施

4月，回應美國華為禁令，歐洲議會（European Parliament）提出以下初步研判：

一、華為自2012年起被美國國會限制在美國市場的發展。美國則依賴瑞典愛立信、芬蘭諾基亞和南韓三星技術。然而華為仍能深入歐盟市場，因其價廉物美。面對美中地緣壓力，近年歐盟電訊業依賴中國設備已是經濟現實（如德國和法國），更換全部硬件並不實際。縱使澳洲、日本和紐西蘭跟隨美國華為禁令，歐盟成員國的共識並非禁用華為，而是協調發展「減低風險措施」（risk-mitigating measures）。

二、由於5G網絡本質上跟4G有根本差別，「核心網絡」和「邊陲網絡」之間的界線將模糊。對電訊商的信任便取決於他們總部所處國家的法律和規管框架。近年歐洲公眾才意識到中國的國營和私人公司跟中國共產黨的關係密切。電訊商和政府之間的關係成為焦點是因為歐洲自由民主政體擔憂，在未來5G生態中將面對更廣泛網絡攻擊和間諜活動、數碼威權主義和資訊戰爭等安全挑戰。

三、這些安全挑戰源自技術、政治和法律方面。因為中國是一黨專政政體，華為和中興便須於這系統之下運作。歐盟須決定會否信任這系統，這要考慮兩方面：

‧中國於新疆等使用高端監控技術之同時，歐盟則推動「以人為本」科技使用方案，保障個人數碼權利。中歐之間對科技使用的出發點存有價值觀差異。

‧2017年中國通過《國家情報法》使企業和個人有法律責任與情報機構合作。美國雖指控華為幫中國政府進行間諜活動，但未能提出證據證明指控。捷克、英國、荷蘭、挪威和波蘭等也曾提出關於華為的安全警告。雖然這些警告有削弱華為的可信性，未有歐盟國家完全禁用華為。歐盟雖可提出政策建議予會員國，但如何落實安全措施則為會員國內政決定。

承接着歐洲議會的初步研判，5月和6月，法國智庫Institut Montaigne發表兩份針對5G網絡安全和華為的報告，有以下進一步研判：

一、5G網絡服務將透過兩種主要技術：

‧虛擬網絡功能（Virtual Network Function）：使用虛擬化技術，利用軟件將用戶要求翻譯成可被電訊商利用的指令，把網絡分成不同階層和功能區塊。網絡自此不被硬件基建局限。

‧軟件定義網絡（Software Defined Network）為管控5G網絡手段。不再依賴硬件，以軟件技術把所有伺服器集權中央，使它們不再受硬件限制，讓規管者更有效管控整個網絡生態。

二、華為的崛起標誌着「科技民族主義」（techno-nationalism）時代到臨。縱使過往和現在有華為領導人具中國軍方、中共和情報背景，但亦吸納了西方資訊安全、國防及情報官員為其服務。華為被指控涉網絡間諜活動，但證據並不充分，也沒有證據證明華為曾為中國情報機構植入任何「後門程式」。然而，於2017年《國家情報法》和缺乏民主制衡的政法體制下，華為堅持能免於政治干預的說法並不具說服力。

三、雖然芬蘭、瑞典、丹麥、挪威和冰島5國已開發一集體5G網絡計劃，但歐盟並非單一電訊市場。華為已跟最少14個歐洲電訊營運商簽署了起碼23份5G合同，也積極注資歐洲大學和研究中心發展科研項目。

在歐洲華為已具相當能見度。歐盟不能制定統一5G政策，只能籲成員國發展5G基礎建設時，須確保歐盟主權，不能被「中美雙頭壟斷」（Sino-American duopoly）甚至「中國霸權」（supremacy of China）主導歐洲5G未來。

第三者供應商補漏洞

10月，歐盟對5G網絡安全便有以下研判：

一、5G網絡將由傳統硬件網絡安全觀轉移到以軟件和虛擬為主的網絡安全觀。

依賴軟件的趨勢將要求5G網絡經常和定期更新，而「第三者供應商」（third-party suppliers）將扮演更重要角色去修補漏洞。

二、5G主要供應商為華為、愛立信、諾基亞、中興、三星和思科。除愛立信和諾基亞外，其他4間公司總部均位於歐盟外的「第三者國家」。他們的企業管理制度跟歐盟公司有顯着分別，特別於透明度和企業擁有權結構方面。

三、5G網絡的最關切威脅源自一些「國家或被國家支持的行動者」（States or State-backed actors），尤其是非歐盟電訊供應商。這威脅跟4個因素有關：

‧電訊供應商跟政府有密切聯繫。

‧這些國家的法律系統缺乏立法和民主制衡機制，或歐盟未與這些國家簽訂保護資料安全的協議。

‧供應商的企業擁有權結構。

‧該國家能否向供應商於製造設備時施壓。

四、歐盟國家不宜過度依賴單一供應商，才能夠減低安全風險。這是因為敵對「第三者國家」或會伺機向其5G供應商施壓，促成網絡攻擊和為其國家利益服務。

不禁用華為3大原因

西方輿論大多認為歐盟報告影射華為5G技術具安全威脅。但我認為歐盟沒有禁用華為的主因有三：

一、中國華為與中興、南韓三星和美國思科都是源自歐洲境外的「第三者國家」電訊供應商。縱使沒有證據證明華為涉間諜活動，但中國政法和企管制度缺乏民主制衡元素，使歐盟對華為技術缺乏信任。

二、美國思科曾被發現與美國情報部門合作，南韓三星技術也曾被美國情報部門入侵。歐盟對他們也缺乏信任。於美中競爭的背景下，歐盟會籲成員國不要依賴這批「第三者國家」電訊商。

三、諾基亞和愛立信為歐盟內主要電訊供應商。作為「自己人」，歐盟自然會信任他們提供的5G服務較安全，兩者合起來已是全球5G技術的領導者和主要提供者。

換言之，歐盟已達5G科技領導地位，協調發展「減低風險措施」已足夠應付5G網絡安全挑戰。

黃伯農  英國巴斯大學政治、語言及國際研究學系副教授

放大圖片 / 顯示原圖

下一篇：	第二度鐘擺
上一篇：	沒有道德和法治 是你想要的香港嗎?