GSMA：零碎的網絡安全監管 推高流動營辦商成本及風險

GSMA發佈一項獨立新研究《網絡安全監管對流動營辦商的影響》，報告顯示流動營辦商每年在核心網絡安全活動上的支出介乎150億至190億美元，預計到2030年將升至400億至420億美元。儘管投入鉅資，作為全球數碼經濟骨幹的流動網絡營辦商，仍受到設計不良、不協調或過於指令式的監管影響。

分散風險緩減資源 增加網絡威脅

這導致不必要的成本，將資源從真正的風險緩減工作中分散，在某些情況下甚至增加了面對網絡威脅的風險。

GSMA政策與監管主管Michaela Angonius表示：「流動網絡承載著世界的數碼脈搏。隨著網絡威脅升級，營辦商正投入巨資保障社會安全——但監管必須提供協助，而非製造阻礙。本報告明確指出，網絡安全框架若能協調統一、以風險為本，並建立在信任之上，效果最佳。若處理不當，監管可能會將關鍵資源從實質的安全改進工作中抽走，變成純粹為了合規而合規。」

全球視角
該報告由Frontier Economics合作撰寫，匯集了經濟分析及來自非洲、亞太區、歐洲、拉丁美洲、中東和北美地區營辦商的訪談。報告強調，網絡威脅瞬息萬變，正推高全球流動營辦商的成本及複雜性。對於在多個市場營運的營辦商而言，不同司法管轄區政府之間的合作以及與業界的交流，對於避免不必要的成本至關重要。

政策不協調造成不必要負擔：
研究指出各市場普遍面臨的挑戰，包括：

• 監管零碎且不一致：迫使營辦商遵守多個機構重疊或互相矛盾的要求。
• 匯報義務激增：有時要求就同一事故以不同格式多次匯報。
• 指令式的「剔格仔」規則：強制使用特定工具或流程，而非專注於實際的安全成果。

一名營辦商反映，其網絡安全營運團隊高達80%的時間花在審計和合規任務上，而非威脅檢測或事故應對。

儘管面臨這些壓力，營辦商強調，在數碼互聯的世界中，確保流動網絡安全是其對客戶乃至整個社會的首要任務。

有效網絡安全監管的六大原則

報告為政府和政策制定者勾勒藍圖，建議根據六大核心原則設計更安全、高效的框架：

• 協調統一：盡可能使網絡安全政策與國際標準接軌，減少監管碎片化和不一致。
• 一致性：確保新政策和框架與現有政策一致，避免重複或衝突。
• 以風險及成果為本：在設計和實施監管時採用以風險和成果為本的方法，給予營辦商創新的靈活性。
• 協作：推廣與業界協作的監管文化，並以安全的威脅情報共享為支援。
• 安全設計：鼓勵採取主動、以安全為設計核心的方法來緩減網絡風險。
• 能力建設：加強網絡安全當局的體制能力，確保採取「整體政府」方針，有效落實政策和法規。

報告警告，單方面、零碎的方法會加劇漏洞，並為全球營辦商帶來低效率。

Michaela Angonius補充：「網絡安全是共同責任。為了保護市民和關鍵社會服務，監管機構和營辦商應在共同原則的指導下攜手合作。當政策連貫且以成果為導向時，整個數碼生態系統將變得更安全。」