移动行业警告：拼凑式网络安全法规正在推高成本

根据行业组织全球移动通信系统协会的报告，随着威胁的演变，移动运营商的核心网络安全支出预计到2030年将增加一倍以上，而设计不佳且零散的政策框架则增加了额外的合规成本。

该游说组织发布了一份报告，呼吁国家政策制定者简化合规和事件报告流程，以减轻网络运营商的工作负担。它还希望看到各国政府和监管机构之间加强国际协调，围绕共同标准构建这些框架。

GSMA声称，在许多国家，服务提供商面临着一系列相互重叠的法律和特定行业的政策拼凑，或者受制于多个监管机构。这可能导致更高的合规成本和重复的报告，将资源从有效的风险缓解工作转移到确保合规性上。

这份42页的报告《网络安全监管对移动运营商的影响》指出，全球范围内的安全威胁正在迅速上升，过去五年攻击数量增加了约75%。

报告估计，全球移动运营商每年在“核心”网络安全活动上的支出在150亿至190亿美元之间，随着威胁变得更加复杂，到2030年这一数字预计将升至400亿至420亿美元。

根据报告，与网络安全法规相关的成本主要分为三类。

第一类是那些与运营商已经实施的措施相一致或有所扩展的义务，确保最低标准，而不会对那些已经满足要求的公司增加显著成本。

另一类包括要求移动运营商以不同方式行事的法规，但并非总是更好的方式。GSMA表示，这些法规可能有相同的目标，但导致运营商不得不实施额外的活动或承担额外成本，例如投资于强制规定的技术。

第三类涵盖了那些不能直接改善网络安全，而是因证明合规而产生的义务。一些运营商报告称，其网络安全运营团队中有一半的人手忙于合规任务，而不是识别威胁或管理风险。

为了让运营商的工作更轻松，GSMA希望看到安全政策与国际标准（如ISO 27001或NIST网络安全框架）保持一致，并希望监管机构确保新的政策和框架具有一致性。

报告称，网络安全监管应通过参与而非惩罚来执行，这听起来像是在恳请不要因违规而遭受罚款。同样，它表示，政府应避免依赖事后合规执法，而是激励对预防的长期投资。

根据GSMA的说法，这些建议并不需要重大的新投资，而是需要朝着协作、信任和共同责任的方向转变方法。

GSMA政策和监管负责人Michaela Angonius在一份声明中表示：“这份报告清楚地表明，当网络安全框架协调一致、基于风险并建立在信任基础上时，效果最佳。为了保护公民和关键的社会服务，监管机构和运营商应共同努力，遵循一套共同的原则。当政策具有连贯性并以结果为导向时，整个数字生态系统就会变得更安全。”