32 quốc gia thông qua nguyên tắc bảo mật mạng 5G

Đại diện các quốc gia gồm Hàn Quốc, Nhật Bản, Úc, New Zealand, Mỹ, Israel, Anh và một số thị trường châu Âu đã ký thỏa thuận không ràng buộc với tên gọi Đề xuất Praha (Prague Proposals) về phối hợp khả năng bảo vệ mạng 5G được đưa ra tại Hội nghị An ninh mạng 5G được tổ chức tại Praha, Cộng hòa Séc từ ngày 2 - 3/5/2019.

Hội nghị an ninh 5G

Đề xuất Praha nêu rõ an ninh của mạng 5G là “rất quan trọng đối với an ninh quốc gia, an ninh kinh tế, các lợi ích quốc gia khác và sự ổn định toàn cầu”.

Đề xuất cũng nhấn mạnh tầm quan trọng của việc xây dựng “các chiến lược quốc gia phù hợp, các chính sách hợp lý, khung pháp lý toàn diện và nhân sự chuyên biệt, là đội ngũ được đào tạo và huấn luyện dành riêng đáp ứng cho bảo mật 5G”.

Đáng chú ý, Đề xuất Praha có đề cập nội dung “cần tính đến rủi ro chung đối với nhà cung cấp do một quốc gia thứ 3 mang lại”.

Các đề xuất của Praha cũng bao gồm các khuyến nghị như: xây dựng các tiêu chuẩn quốc tế mở, dựa trên sự đồng thuận để bảo mật 5G, đánh giá lỗ hổng thường xuyên đối với tất cả các cấu phần và hệ thống mạng, chia sẻ thông tin về các mối đe dọa và hợp tác tích cực giữa các nước tham gia.

32 quốc gia và 4 nhà mạng toàn cầu đồng thuận về nguyên tắc bảo mật mạng 5G

Cụ thể các khuyến nghị bao gồm:

Về chính sách:

- Các mạng và dịch vụ thông tin liên lạc phải được thiết kế với khả năng phục hồi và bảo mật.

Mạng và dịch vụ thông tin liên lạc nên được xây dựng và duy trì bằng cách áp dụng các tiêu chuẩn quốc tế mở, dựa trên sự đồng thuận và các thông lệ tốt nhất về an ninh mạng. Nguyên tắc bảo mật không gian mạng minh bạch trên quy mô toàn cầu sẽ hỗ trợ các sản phẩm và dịch vụ bảo mật mạng nhằm tăng khả năng phục hồi của tất cả các bên liên quan.

- Theo luật pháp quốc tế, mọi quốc gia đều có quyền đặt ra các yêu cầu an ninh quốc gia và thực thi pháp luật của riêng mình, theo đó, cần tôn trọng quyền riêng tư và quy định của pháp luật để thông tin không bị thu thập và sử dụng sai mục đích.

- Các quy định pháp lý và chính sách quản lý mạng, các dịch vụ nối mạng cần được xây dựng theo các nguyên tắc minh bạch và công bằng, có tính đến khả năng toàn cầu và các quy tắc tương tác, với sự giám sát toàn diện và tôn trọng quy định của luật pháp.

- Phải tính đến tổng thể rủi ro ảnh hưởng đến một nhà cung cấp do một quốc gia thứ ba mang lại, đáng chú ý là liên quan đến mô hình quản trị, không có thỏa thuận hợp tác về an ninh hoặc các thỏa thuận tương tự chẳng hạn như các quyết định phù hợp, liên quan đến bảo vệ dữ liệu hoặc cho dù quốc gia này là một bên tham gia các hiệp định đa phương, quốc tế hoặc song phương về an ninh mạng, cuộc chiến chống tội phạm mạng hay bảo vệ dữ liệu.

Về công nghệ:

- Các bên liên quan nên thường xuyên tiến hành đánh giá lỗ hổng và giảm thiểu rủi ro trong tất cả các thành phần và hệ thống mạng, trước khi phát hành sản phẩm và trong quá trình vận hành hệ thống. Các bên liên quan cũng cần thúc đẩy văn hóa tìm/sửa/vá để giảm thiểu các lỗ hổng đã xác định và nhanh chóng triển khai các bản sửa lỗi hoặc bản vá.

- Đánh giá rủi ro các sản phẩm của nhà cung cấp nên tính đến tất cả các yếu tố liên quan, bao gồm môi trường pháp lý hiện hành và các khía cạnh khác của hệ sinh thái nhà cung cấp, vì những yếu tố này có thể phù hợp với các nỗ lực của các bên liên quan để duy trì mức độ an ninh mạng cao nhất có thể.

- Khi xây dựng khả năng phục hồi và bảo mật, cần xem xét rằng các hoạt động mạng độc hại không phải lúc nào cũng yêu cầu khai thác lỗ hổng kỹ thuật, ví dụ: trong trường hợp tấn công từ trong nội bộ.

- Để tăng lợi ích của truyền thông liên lạc toàn cầu, các quốc gia nên thông qua các chính sách cho phép các luồng dữ liệu mạng hiệu quả và an toàn.

- Các bên liên quan nên cân nhắc các thay đổi công nghệ đi cùng với triển khai mạng 5G, ví dụ: sử dụng điện toán biên và ảo hóa chức năng mạng/mạng định nghĩa bằng phần mềm (SDN) và tác động của nó đối với bảo mật toàn diện các kênh truyền thông.

- Khách hàng - cho dù chính phủ, nhà mạng hay nhà sản xuất - phải được thông báo về nguồn gốc của các thành phần và phần mềm ảnh hưởng đến cấp độ bảo mật của sản phẩm hoặc dịch vụ, tình hình, các thông lệ kỹ thuật và thương mại có liên quan, bao gồm tính minh bạch của bảo trì, cập nhật và khắc phục các sản phẩm và dịch vụ.

Về các yếu tố kinh tế:

- Thị trường và chuỗi cung ứng thiết bị truyền thông phong phú và sôi động là rất cần thiết cho khả năng phục hồi an ninh và kinh tế.

- Đầu tư mạnh mẽ vào nghiên cứu và phát triển mang lại lợi ích cho nền kinh tế, tiến bộ công nghệ toàn cầu và là một cách để có khả năng tăng sự đa dạng của các giải pháp công nghệ với những tác động tích cực đến an ninh của các mạng truyền thông.

- Mạng thông tin liên lạc và các dịch vụ mạng phải được đầu tư một cách công khai và minh bạch bằng cách tham khảo các thực tiễn tốt nhất về mua sắm, đầu tư và ký kết hợp đồng.

- Các ưu đãi, trợ cấp hoặc tài trợ của các nhà cung cấp dịch vụ và mạng 5G phải tôn trọng các nguyên tắc công bằng, hợp lý về mặt thương mại, được thực hiện công khai và minh bạch, dựa trên các nguyên tắc cạnh tranh thị trường mở, trong khi tính đến nghĩa vụ thương mại.

- Giám sát hiệu quả các công cụ tài chính và đầu tư quan trọng ảnh hưởng đến phát triển mạng viễn thông là rất cần thiết.

- Các mạng thông tin liên lạc và các nhà cung cấp dịch vụ mạng cần có quyền sở hữu minh bạch, quan hệ đối tác và các cơ cấu quản trị doanh nghiệp.

Về bảo mật, quyền riêng tư và khả năng phục hồi

- Tất cả các bên liên quan nên cùng hợp tác để tăng cường bảo mật và khả năng phục hồi của các mạng, cơ sở hạ tầng trọng yếu quốc gia, các hệ thống và các thiết bị được nối mạng.

- Chia sẻ kinh nghiệm và các thực tiễn điển hình, bao gồm các hỗ trợ khi cần thiết, cùng với các kinh nghiệm giảm thiểu, điều tra, phản hồi và phục hồi sau các cuộc tấn công mạng, xâm phạm.

- Đánh giá rủi ro và bảo mật của nhà cung cấp và các công nghệ mạng cần tính đến luật pháp, môi trường bảo mật, sự cố của nhà cung cấp và tuân thủ các tiêu chuẩn mở, có thể tương tác, bảo mật và các thực tiễn điển hình trong ngành để thúc đẩy việc cung cấp sản phẩm bảo mật mạng mạnh mẽ và dịch vụ để đối phó với những thách thức đang gia tăng.

- Cần triển khai khung quản lý rủi ro theo cách thức tôn trọng các nguyên tắc bảo vệ dữ liệu để đảm bảo quyền riêng tư của công dân sử dụng thiết bị và dịch vụ mạng.