Asigurarea securității cibernetice a rețelelor 5G, un aspect de importanță strategică al Uniunii Europene
Conform ultimului rezumat Huawei bazat pe legislația curentă la nivel internațional, Comisia Europeană a identificat o serie de măsuri ce trebuie luate pentru a sprijini dezvoltarea abordării Uniunii Europene în vederea asigurării securității cibernetice a rețelelor 5G, în contextul în care atacurile cibernetice sunt în creștere și sunt mai sofisticate decât niciodată.
Asigurarea securității cibernetice a rețelelor 5G reprezintă un aspect de importanță strategică al Uniunii Europene, drept urmare, Comisia Europeană a publicat o serie de măsuri:
- Statele membre vor evalua riscurile de securitate cibernetică ce influențează rețelele 5G la nivel național și vor lua măsurile necesare de securitate.
- Statele membre și instituțiile, agențiile și alte organisme ale Uniunii Europene vor dezvolta împreună o evaluare a riscului Uniunii Europene ce va fi coordonată cu evaluarea riscului la nivel național.
- Grupul de Cooperare format conform Directivei (UE) 2016/1148 (Grupul de Cooperare) va identifica un posibil set comun de măsuri care se vor lua în vederea abordării riscurilor de securitate cibernetică legate de infrastructuri care stau la baza ecosistemului digital, în particular al rețelelor 5G.
În iulie 2019, statele membre au transmis rezultatele evaluările riscurilor la nivel național către Comisia Europeană și ENISA. Datele au permis colectarea informațiilor legate de activele principale, amenințări și vulnerabilități legate de infrastructura 5G și scenariile principale de risc, descriind modurile posibile în care persoanele rău intenționate ar putea exploata o anumită vulnerabilitate a unui activ pentru a influența obiectivele guvernului. Raportul a identificat nouă domenii de risc pentru 5G:
- Lipsa personalului specializat și instruit pentru securizarea, monitorizarea și întreținerea rețelelor 5G.
- Lipsa controalelor corespunzătoare interne de securitate, a practicilor de monitorizare, a sistemelor de management a securității și practicile insuficiente de management al riscurilor.
- Lipsa sau procedurile necorespunzătoare de întreținere operațională, de tipul managementului actualizărilor/corecțiilor software.
- Lipsa conformității cu standardele 3GPP sau implementarea incorectă a standardelor.
- Proiectarea și arhitectura slabă a rețelei.
- Securitatea slabă fizică a rețelei și infrastructurii IT.
- Politicile slabe pentru accesul local și la distanță pentru componentele rețelei.
- Lipsa sau cerințele insuficiente de securitate din cadrul procesului de aprovizionare.
- Procesul slab de management al schimbării.
Evaluarea riscului face diferențierea între importanța critică a rețelelor CORE și RAN. CORE a fost definită de către statele membre ca fiind “critică”, în timp ce RAN a fost definită ca fiind “înaltă”. Raportul subliniază faptul că “Funcțiunile rețelei centrale a rețelei 5G sunt în general considerate a fiind critice”.
Într-adevăr, modificarea rețelei centrale poate compromite confidențialitatea, disponibilitatea și integritatea serviciilor întregii rețele (în timp ce compromiterea altor componente poate avea un impact mai limitat, de exemplu influențând doar o anumită funcțiune sau zonă). Mai mult, cele mai sensibile date sunt transmise prin componentele rețelei centrale.
Din punct de vedere RAN, modificările tehnologice introduse între domeniile rețelei, de tipul implementării funcționalităților la marginea rețelei și o arhitectură mai puțin centralizată față de rețelele celulare din generațiile anterioare măresc probabilitatea unui atac. Acest lucru apare deoarece anumite funcțiuni ale rețelei centrale pot fi integrate cu alte părți ale rețelei, mărind sensibilitatea echipamentului, de tipul stațiilor de bază.
În plus, implementarea noii zone de software în dispozitivele 5G poate determina un risc crescut legat de dezvoltarea și procesul de actualizare, ce poate apărea în urma erorilor de actualizare. De asemenea, dependența majoră de un singur furnizor crește expunerea la consecințele unei posibile întreruperi a activității acestui furnizor.
Setul de instrumente pentru securitatea cibernetică a rețelelor 5G, pentru măsurile de atenuare a riscurilor, a fost publicat în ianuarie 2020 de către Grupul de Cooperare. Acesta mai stabilește și planurile detaliate de diminuare a fiecărui risc identificat, precum și recomandarea unui set de măsuri strategice și tehnice, ce ar trebui luate la nivelul statelor membre și la nivelul UE – realizat de Comisia Europeană.
Măsurile strategice au fost definite ca organisme de reglementare, furnizori terți, diversificarea furnizorilor și dezvoltarea durabilă și diversitatea lanțului de aprovizionare și furnizare 5G. Pe de altă parte, măsurile tehnice au fost definite ca fiind securitatea rețelei – măsurile de bază, securitatea rețelei – măsurile specifice 5G, cerințele legate de procesele furnizorilor și echipamente, precum și reziliența și continuitatea. Setul de instrumente abordează și nouă zone de risc identificate în raportul UE de evaluare generală a riscului și identifică și oferă planuri de diminuare a riscului în acele zone.
În NATO, comunicațiile 5G au început să fie dezbătute la începutul anului 2019. În noiembrie 2019, Ministerul Apărării a adoptat cerințele pentru reziliența infrastructurii civile de telecomunicații, incluzând 5G. Reziliența este elementul principal al Articolului 3 al Tratatului Nord Atlantic. Activitatea NATO în vederea îmbunătățirii rezilienței nu este specifică unei singure vulnerabilități. Ea contribuie la protejarea teritoriului și populației Alianței împotriva tuturor pericolelor posibile.
Sistemele sunt toate conectate, ceea ce înseamnă că dacă o zonă este afectată, alta poate suferi în consecință. Sistemele de comunicații rezistente civile au fost identificate ca fiind una din acele vulnerabilități. NATO specifică faptul că se asigură astfel funcționarea rețelelor de telecomunicații și cibernetice chiar și în condiții de criză, cu o capacitate suficientă de rezervă.
Cerința a fost actualizată în noiembrie 2019 de către Ministerul Apărării al NATO, care a subliniat necesitatea sistemelor de comunicații de încredere, inclusiv 5G, opțiuni flexibile de restabilire a acestor sisteme, acces prioritar la autoritățile naționale în timp de criză, și evaluările complexe ale tuturor riscurilor sistemelor de comunicații. Angajamentul de asigurare securității comunicațiilor, inclusiv a rețelei 5G, a fost inclus în declarația Adunării NATO din Londra. Nu a existat o diferențiere între importanța critică a CORE și RAN. Alianța Nord Atlantică definește 5G ca fiind în general critic.