La relazione europea sui rischi segnala le sfide alla sicurezza del 5G – TechCrunch


Gli Stati membri dell'Unione europea hanno pubblicato un rapporto di valutazione del rischio congiunto nella tecnologia 5G che evidenzia un aumento dei rischi per la sicurezza che richiederà un nuovo approccio per garantire l'infrastruttura delle telecomunicazioni.

Finora l'UE ha resistito alle pressioni degli Stati Uniti sul boicottaggio del colosso tecnologico cinese Huawei come fornitore di 5G per motivi di sicurezza nazionale, con singoli Stati membri come il Regno Unito che si sono anche presi il tempo di masticare la questione.

Ma il rapporto segnala rischi per il 5G da ciò che definisce "attori non appartenenti all'UE o sostenuti dallo stato" – che può essere letto come codice diplomatico per Huawei. Tuttavia, come alcuni osservatori del settore hanno sottolineato rapidamente, l'etichetta potrebbe essere applicata piuttosto vicino a casa nel prossimo futuro, se la Brexit dovesse accadere …

Già a marzo, mentre le preoccupazioni dell'industria europea delle telecomunicazioni turbinavano su come rispondere alle pressioni statunitensi per bloccare Huawei, la Commissione è intervenuta per emettere una serie di raccomandazioni – esortando gli Stati membri a intensificare l'attenzione individuale e collettiva per mitigare i potenziali rischi per la sicurezza mentre rotolano reti 5G.

Il rapporto di valutazione del rischio di oggi fa seguito a questo.

Identifica una serie di "sfide alla sicurezza" che il rapporto suggerisce "potrebbero apparire o diventare più importanti nelle reti 5G" rispetto alle attuali reti mobili – collegate all'ampliamento dell'uso del software per eseguire reti 5G; e software e app che saranno abilitati ed eseguiti su reti di nuova generazione.

Il ruolo dei fornitori nella costruzione e gestione delle reti 5G è anche considerato una sfida per la sicurezza, con il rapporto che avverte di un "grado di dipendenza dai singoli fornitori" e che troppe uova vengono inserite nel paniere di un singolo fornitore 5G.

Riassumendo gli effetti che dovrebbero seguire le implementazioni del 5G, secondo il rapporto, prevede:

  • Un maggiore esposizione agli attacchi e più potenziali punti di ingresso per gli attaccanti: Con le reti 5G sempre più basate sul software, stanno assumendo sempre maggiore importanza i rischi relativi ai principali difetti di sicurezza, come quelli derivanti da scarsi processi di sviluppo del software nei fornitori. Potrebbero anche rendere più facile per gli attori delle minacce l'inserimento di backdoor nei prodotti e renderli più difficili da rilevare.
  • Grazie alle nuove caratteristiche dell'architettura di rete 5G e alle nuove funzionalità, alcuni dispositivi o funzioni di rete stanno diventando più sensibili, come le stazioni base o le principali funzioni di gestione tecnica delle reti.
  • Una maggiore esposizione ai rischi legati al affidamento degli operatori di rete mobile ai fornitori. Ciò porterà anche a un livello superiore numero di percorsi di attacco che potrebbero essere sfruttati dagli attori delle minacce e aumentare la potenziale gravità dell'impatto di tali attacchi. Tra i vari potenziali attori, gli Stati extra UE o sostenuti dallo Stato sono considerati i più seri e i più propensi a colpire le reti 5G.
  • In questo contesto di maggiore esposizione agli attacchi facilitati dai fornitori, il profilo di rischio dei singoli fornitori diventerà particolarmente importante, compresa la probabilità che il fornitore sia soggetto a interferenze da un paese extra UE.
  • Aumento dei rischi derivanti da importanti dipendenze dai fornitori: una forte dipendenza da un singolo fornitore aumenta l'esposizione a una potenziale interruzione dell'offerta, derivante ad esempio da un fallimento commerciale e dalle sue conseguenze. Inoltre aggrava il potenziale impatto delle debolezze o delle vulnerabilità e del loro possibile sfruttamento da parte degli attori delle minacce, in particolare quando la dipendenza riguarda un fornitore che presenta un alto grado di rischio.
  • Minacce alla disponibilità e all'integrità delle reti diventeranno importanti problemi di sicurezza: oltre alle minacce alla riservatezza e alla privacy, con le reti 5G che dovrebbero diventare la spina dorsale di molte applicazioni IT critiche, l'integrità e la disponibilità di tali reti diventeranno i principali problemi di sicurezza nazionale e una grande sfida di sicurezza dal punto di vista dell'UE.

La relazione di alto livello è una raccolta delle valutazioni dei rischi nazionali degli Stati membri, in collaborazione con la Commissione e l'Agenzia europea per la sicurezza informatica. È considerato solo un primo passo nello sviluppo di una risposta europea alla protezione delle reti 5G.

"Sottolinea gli elementi di particolare rilevanza strategica per l'UE", afferma il rapporto in sintesi. "In quanto tale, non mira a presentare un'analisi esauriente di tutti gli aspetti o tipi rilevanti di singoli rischi di cibersicurezza relativi alle reti 5G."

Il prossimo passo sarà lo sviluppo, entro il 31 dicembre, di una cassetta degli attrezzi di misure di mitigazione, concordata dal gruppo di cooperazione sui sistemi informatici e di rete, che mirerà a far fronte ai rischi identificati a livello nazionale e dell'Unione.

"Entro il 1 ° ottobre 2020, gli Stati membri, in collaborazione con la Commissione, dovrebbero valutare gli effetti della raccomandazione al fine di determinare se siano necessarie ulteriori azioni. Tale valutazione dovrebbe tener conto dei risultati della valutazione coordinata europea dei rischi e dell'efficacia delle misure ", aggiunge la Commissione.

Per la cassetta degli attrezzi è probabile che vengano prese in considerazione varie misure, secondo il rapporto – costituite da requisiti di sicurezza esistenti per le generazioni precedenti di reti mobili con "approcci di emergenza" che sono stati definiti attraverso la standardizzazione dall'ente per gli standard di telefonia mobile, 3GPP, in particolare per core e livelli di accesso delle reti 5G.

Ma avverte anche che "le differenze fondamentali nel funzionamento del 5G significano anche che le attuali misure di sicurezza implementate sulle reti 4G potrebbero non essere del tutto efficaci o sufficientemente complete per mitigare i rischi di sicurezza identificati", aggiungendo che: "Inoltre, la natura e le caratteristiche di alcuni di questi rischi è necessario determinare se possono essere affrontati solo mediante misure tecniche.

“La valutazione di queste misure sarà intrapresa nella fase successiva dell'attuazione della Raccomandazione della Commissione. Ciò porterà all'individuazione di una cassetta degli attrezzi di opportune, efficaci e proporzionate misure di gestione dei rischi per mitigare i rischi di cibersicurezza identificati dagli Stati membri nell'ambito di questo processo. "

La relazione si conclude con un'ultima riga in cui si afferma che "si dovrebbe anche prendere in considerazione lo sviluppo della capacità industriale europea in termini di sviluppo software, produzione di apparecchiature, test di laboratorio, valutazione della conformità, ecc.", Che riunisce un sacco di cose in una sola frase.

L'implicazione è che il business della sicurezza 5G dovrà essere commisuratamente ampio su scala per soddisfare la sfida di sicurezza multidimensionale che va di pari passo con la tecnologia di nuova generazione. Il solo divieto di un singolo fornitore non lo taglierà.