Principalele state al UE au abordat tehnic problema securității tehnologiei 5G
Uniunea Europeană a stabilit, printr-un acord între Comisia Europeană și statele membre, un set de instrumente pentru securitatea rețelelor de telecomunicații. După cum arată un raport al casei de avocatură Morgan Lewis, setul comun Toolbox on 5G Cybersecurity recomandă o abordare bazată exclusiv pe motive de securitate și pe o analiză obiectivă a riscurilor identificate. Instrumentarul UE nu vizează niciun furnizor sau țară în mod special, ci susține măsuri de securitate obiective și aplicabile tuturor, ca și armonizarea standardelor de securitate și certificare.
Operatorii de comunicații sunt responsabili de dezvoltarea rețelelor 5G, iar statele membre sunt responsabile de securitatea națională. Obiectivul Toolbox este de a stabili o abordare coordonată a setului de măsuri menite să reducă riscurile de securitate ale rețelelor 5G.
Măsurile strategice identificate includ următoarele:
- Consolidarea rolului autorităților naționale;
- Efectuarea auditurilor asupra operatorilor și solicitarea de informații;
- Evaluarea profilurilor de risc ale furnizorilor și aplicarea restricțiilor pentru furnizorii considerați a fi de risc ridicat – inclusiv excluderile necesare pentru a atenua eficient riscurile – pentru activele cheie;
- Controlarea utilizării furnizorilor de servicii gestionați (MSP);
- Asigurarea diversității furnizorilor pentru operatorii individuali de rețele mobile prin intermediul unor strategii adecvate multivendor;
- Consolidarea rezilienței rețelelor la nivel național;
- Identificarea activelor cheie și promovarea unui ecosistem 5G divers și durabil în UE;
- Menținerea și consolidarea diversității și a capacităților UE în viitoarele tehnologii de rețea.
În ceea ce privește evaluarea profilurilor cu risc ale furnizorilor individuali, Comisia sugerează că acest lucru poate fi evaluat pe baza unei varietăți de factori:
• Probabilitatea ca furnizorul să fie supus interferenței dintr-o țară terță. Astfel de interferență poate fi facilitată de (dar nu limitat la) prezența următorilor factori:
- O legătură puternică între furnizor și guvernul unei țări terțe;
- Legislația țării terțe, în special acolo unde nu există un echilibru legislativ sau cu care nu există acorduri de protecție a datelor cu UE;
- Caracteristicile proprietății corporative a furnizorului;
- Capacitatea țării terțe de a exercita orice formă de presiune, inclusiv în relație cu locul de fabricație al echipamentului.
• Capacitatea furnizorului de a asigura aprovizionarea cu echipamente.
• Calitatea generală a produselor și practicile de securitate cibernetică ale furnizorului, inclusiv:
- Gradul de control asupra propriului lanț de aprovizionare și adecvarea practicilor de securitate;
- Evaluarea profilului de risc al unui furnizor poate lua în considerare și notificările emise de către autoritățile UE și / sau autoritățile naționale ale statelor membre.
Toolbox UE: Măsuri tehnice
Măsurile tehnice includ măsuri de consolidare a securității rețelelor și echipamentelor 5G și consolidarea securității tehnologiilor, proceselor, oamenilor și a factorilor fizici:
- Asigurarea aplicării cerințelor de securitate de bază (proiectare securizată a rețelei și arhitectură);
- Asigurarea și evaluarea implementării măsurilor de securitate în standardele 5G existente;
- Asigurarea unor controale stricte de acces;
- Creșterea securității funcțiilor de rețea virtualizate;
- Asigurarea gestionării, funcționării și monitorizării securizate a rețelei 5G;
- Consolidarea securității fizice;
- Consolidarea integrității software-ului, actualizarea și gestionarea patch-urilor;
- Creșterea standardelor de securitate în procesele furnizorilor prin condiții de achiziție sigure;
- Utilizarea certificării UE pentru componentele rețelei 5G, echipamentele clienților și / sau furnizorii de echipamente;
- Utilizarea certificării UE pentru alte tehnologii informaționale și de comunicații care nu sunt specifice 5G, produse și servicii (dispozitive conectate, servicii cloud);
- Consolidarea planurilor de rezistență și continuitate.
În plus, adoptarea acestor măsuri de către statele membre va permite Comisiei să ia măsuri suplimentare pentru asigurarea unui lanț de aprovizionare 5G divers și durabil pentru a evita dependența pe termen lung de un furnizor, inclusiv prin utilizarea deplină a instrumentelor și instrumentelor UE existente (screening-ul ISD, apărare comercială). De asemenea, se dorește consolidarea capacităților UE în tehnologiile 5G și post-5G folosind programele relevante ale UE, și finanțarea și facilitarea coordonării între statele membre în ceea ce privește standardizarea pentru atingerea obiectivelor specifice de securitate și dezvoltarea certificării relevante la nivelul UE scheme.
Abordarea pe state
Raportul Morgan Lewis a analizat în detaliu cinci state din cadrul UE, respectiv Germania, Suedia, Finlanda, România și Polonia, pentru a identificare principalele diferențe dintre abordări referitoare la legislația 5G.
La fel ca în abordarea UE, majoritatea statelor au mers pe criterii tehnice în evaluarea riscurilor aferente furnizorilor de echipamente 5G, inclusiv Germania, Suedia și Finlanda. Cu excepția România și Polonia, unde principalul criteriu de evaluare este politic, se extinde asupra tuturor rețelelor de comunicații (2G, 3G, 4G), iar legea are efect retroactive pentru ultimii cinci ani.
Deocamdată, legea este încă în dezbatere în România și Polonia, spre diferență de celelalte state, unde avansul către implementarea legii și a dezvoltării tehnologiei 5G este mult mai avansat.
Se dorește însă o susținere cât mai rapidă a implementării legii pentru a putea organiza licitația pentru spectrul de frecvență 5G. Pe partea tehnică, evaluarea riscurilor aferente securității 5G tinde să se globalizeze prin standarde adoptate de furnizorii din întreaga lume (prin 3GPP și GSMA), care ușurează sarcina tehnică a evaluatorilor. Principala piedică din prezent rămâne factorul politic, influențat de alegerile parlamentare sau prezidențiale care au loc în mai multe state spre sfârșitul anului.
Standarde de securitate globale
Principalii furnizori globali de echipamente pentru rețele mobile, respectiv Huawei, Ericsson, Nokia și ZTE, au încheiat cu succes o evaluare a proceselor de dezvoltare și de gestionare a cilului de viață a produselor proprii utilizând GSMA Network Equipment Assurance Scheme (NESAS).
Schema NESAS este realizată prin colaborarea 3GPP și GSMA, fiind deschisă tuturor furnizorilor de echipamente de rețea care suportă funcțiile 3GPP. NESAS se concentrează pe calitățile furnizorilor din lanțul de aprovizionare și oferă un cadru de asigurare a securității în industria comunicațiilor. NESAS a fost dezvoltat folosind practicile și soluțiile deja stabilite pentru asigurarea securității.
„GSMA recunoaște sprijinul și participarea Ericsson, Huawei, Nokia și ZTE care au îndeplinit cerințele de securitate ale schemei printr-un audit de securitate independent și îi felicităm pentru realizarea acestui prim pas important”, spune Alex Sinclair, Chief Technology Officer, GSMA. „Prin angajamentul față de NESAS, furnizorii ajută operatorii de rețea și alte părți interesate să ia decizii în cunoștință de cauză pentru dezvoltarea sigură a produselor. Așteptăm cu nerăbdare ca alții să participe la schemă, dovedind angajamentul lor față de bunele practici de securitate prin promovarea unei culturi de securitate în cadrul industriei.”
În timpul celei de-a doua etape a NESAS, furnizorii vor trimite produse de echipamente de rețea către laboratoare de testare calificate pentru evaluare. Această etapă implică laboratoare care efectuează teste de securitate definite de 3GPP și verificarea dezvoltării securizate a produselor și a gestionării ciclului de viață. Evaluarea se încheie cu un raport de evaluare creat de către laboratorul de testare, prin care înregistrează rezultatele testelor. Raportul este furnizat furnizorului care îl poate pune la dispoziția clienților săi și a altor părți interesate, la alegerea sa.
GSMA susține în mod activ eforturile depuse în interiorul industrie de a crește nivelurile de securitate a infrastructurii de rețea. NESAS reprezintă o inițiativă critică a industriei, prin care crește transparența și îi stimulează pe vânzători să dezvolte și să susțină echipamente de rețea care să protejeze operatorii și clienții acestora și să poată sprijini cerințele de securitate naționale.