5G tīklu kiberdrošība. ES publicē ziņojumu par atvērtā RAN drošību

Šodien ES dalībvalstis ar Eiropas Komisijas un Eiropas Savienības Kiberdrošības aģentūras ENISA atbalstu publicēja ziņojumu par atvērtā RAN kiberdrošību. Šis jaunais 5G tīkla arhitektūras veids turpmākajos gados nodrošinās alternatīvu veidu, kā izvērst 5G tīklu radiopiekļuves daļu, pamatojoties uz atvērtām saskarnēm. Tas ir vēl viens svarīgs solis ES līmeņa koordinētajā darbā 5G tīklu kiberdrošības jomā, apliecinot stingru apņēmību turpināt kopīgi reaģēt uz 5G tīklu drošības problēmām un sekot līdzi 5G tehnoloģijas un arhitektūras attīstībai.

ES iedzīvotājiem un uzņēmumiem, kas lieto sarežģītas un novatoriskas lietotnes, kuras ļauj izmantot 5G un turpmāko paaudžu mobilo sakaru tīkli, ir jāspēj izmantot visaugstākos drošības standartus. Turpinot koordinēto darbu, kas jau paveikts ES līmenī, lai stiprinātu 5G tīklu drošību, izmantojot ES 5G kiberdrošības rīkkopu, dalībvalstis ir analizējušas atvērtā RAN ietekmi uz drošību.

Komisijas priekšsēdētājas izpildvietniece digitālajam laikmetam gatavas Eiropas jautājumos Margrēte Vestagere:

Mūsu kopīgā prioritāte un atbildība ir nodrošināt 5G tīklu savlaicīgu izvēršanu Eiropā, vienlaikus nodrošinot to drošību. Atvērta RAN arhitektūra rada jaunas iespējas tirgū, bet šis ziņojums liecina, ka tā rada arī būtiskas drošības problēmas, jo īpaši īstermiņā. Visiem dalībniekiem būs svarīgi veltīt pietiekami daudz laika un uzmanības šādu problēmu mazināšanai, lai varētu izpildīt atvērtā RAN solījumus.

Par iekšējo tirgu atbildīgais Komisijas loceklis Tjerī Bretons:

Tā kā 5G tīkls tiek izvērsts visā ES un mūsu ekonomika arvien vairāk paļaujas uz digitālo infrastruktūru, svarīgāk nekā jebkad agrāk ir nodrošināt sakaru tīklu augstu drošības līmeni. Tieši to mēs darījām ar 5G kiberdrošības rīkkopu. Un to mēs, kopā ar dalībvalstīm, tagad darām atvērtajā RAN ar šo jauno ziņojumu. Tehnoloģijas izvēle nav valsts iestāžu ziņā. Taču mūsu pienākums ir novērtēt riskus, kas saistīti ar atsevišķām tehnoloģijām. Šis ziņojums liecina, ka ir vairākas iespējas, ko paver atvērtais RAN, bet arī būtiskas drošības problēmas, kuras joprojām nav atrisinātas un kuras nevar novērtēt par zemu. Eiropas atvērtā RAN 5G tīklu iespējamā izvēršana nekādā gadījumā nedrīkst radīt jaunas vājās vietas.

Francijas Nacionālās kiberdrošības aģentūras (ANSSI) ģenerāldirektors Guillaume Poupard sacīja: “Pēc ES rīkkopas 5G kiberdrošības jomā šis ziņojums ir vēl viens pagrieziena punkts TID sadarbības grupas centienos koordinēt un mazināt mūsu 5G tīklu drošības riskus. Šī atklātā RAN padziļinātā drošības analīze palīdz nodrošināt, ka mūsu kopīgā pieeja iet kopsolī ar jaunajām tendencēm un saistītajām drošības problēmām. Mēs turpināsim darbu, lai kopīgi risinātu šīs problēmas.”

Ziņojumā konstatēts, ka atvērtais RAN varētu sniegt potenciālas drošības iespējas, ja tiktu izpildīti konkrēti nosacījumi. Izmantojot lielāku dažādu piegādātāju RAN komponentu sadarbspēju, atvērtais RAN varētu nodrošināt lielāku piegādātāju diversifikāciju tīklos tajā pašā ģeogrāfiskajā apgabalā. Tas varētu palīdzēt realizēt ES 5G kiberdrošības rīkkopas ieteikumu, ka katram operatoram vajadzētu būt atbilstošai vairāku piegādātāju stratēģijai, lai novērstu vai ierobežotu jebkādu būtisku atkarību no viena piegādātāja. Atvērtais RAN varētu arī palīdzēt palielināt tīkla redzamību, pateicoties atvērtām saskarnēm un standartiem, samazināt cilvēka kļūdas, pateicoties lielākai automatizācijai, un palielināt elastību, izmantojot virtualizāciju un mākoņdatošanas risinājumus.

Tomēr atvērtā RAN koncepcijai joprojām trūkst brieduma, un kiberdrošība joprojām ir būtiska problēma. Īstermiņā, palielinot tīklu sarežģītību, atvērtais RAN saasinātu vairākus drošības riskus. Šie riski ietver lielāku uzbrukuma laukumu un vairāk piekļuves punktu ļaunprātīgiem subjektiem, palielinātu tīklu nepareizas konfigurācijas risku un iespējamo ietekmi uz citām tīkla funkcijām resursu kopīgas izmantošanas dēļ. Ziņojumā arī norādīts, ka tehniskās specifikācijas, piemēram, tās, ko izstrādājusi O-RAN alianse, nav pietiekami izstrādātas un integrētas. Atvērtais RAN varētu radīt jaunas vai lielākas kritiskās atkarības, piemēram, komponentu un mākoņu jomā.

Lai mazinātu šos riskus un izmantotu atvērtā RAN potenciālās iespējas, ziņojumā ir ieteikti vairāki pasākumi, kuru pamatā ir ES 5G rīkkopa, jo īpaši:

• regulatīvo pilnvaru izmantošana, lai varētu rūpīgi pārbaudīt mobilo sakaru operatoru liela mēroga atvērtā RAN izvēršanas plānus un vajadzības gadījumā ierobežot, aizliegt un/vai noteikt īpašas prasības vai nosacījumus atvērtā RAN tīkla iekārtu piegādei, liela mēroga izvēršanai un ekspluatācijai;
• galvenās tehniskās kontroles pastiprināšana, piemēram, autentificēšanas un atļauju piešķiršanas, un monitoringa projektu pielāgošana modulārai videi, kurā tiek uzraudzīts katrs komponents;
• atvērtā RAN pakalpojumu sniedzēju, ārējo pakalpojumu sniedzēju, kas saistīti ar atvērto RAN, mākoņdatošanas pakalpojumu/infrastruktūras pakalpojumu sniedzēju un sistēmu integrētāju riska profilu novērtēšana un pārvaldāmo pakalpojumu sniedzēju kontroles un ierobežojumu paplašināšana, attiecinot tos uz šiem pakalpojumu sniedzējiem;
• trūkumu novēršana tehnisko specifikāciju izstrādē: procesam būtu jāatbilst Pasaules Tirdzniecības organizācijas (PTO)/Tehnisko tirdzniecības šķēršļu (TBT) pamatprincipiem starptautisko standartu izstrādei[1], un būtu jānovērš trūkumi drošības jomā;
• atvērtā RAN komponentu iekļaušana gaidāmajā 5G kiberdrošības sertifikācijas shēmā, kas pašlaik tiek izstrādāta, pēc iespējas agrākā posmā.

Attiecībā uz ES spēju saglabāšanu un konsolidāciju šajā tirgū būtu jāsaglabā tehnoloģiski neitrāls regulējums, lai veicinātu konkurenci. Šajā saistībā ES un valstu finansējumu 5G un 6G pētniecībai un inovācijai varētu izmantot, lai atbalstītu ES dalībnieku iespējas konkurēt vienlīdzīgos konkurences apstākļos. Papildus RAN ir svarīgi risināt arī iespējamās atkarības vai dažādības trūkumu visā komunikācijas vērtību ķēdē attiecībā uz piegādes diversifikāciju.

Kopumā ziņojumā ieteikta piesardzīga pieeja virzībai uz šo jauno arhitektūru. Jebkāda pāreja no esošām, uzticamām tehnoloģijām un līdzāspastāvēšana ar tām būtu jāveic, atvēlot pietiekami daudz laika un resursu, lai iepriekš novērtētu riskus, īstenotu atbilstošus mazināšanas pasākumus un skaidri noteiktu atbildību atteices vai incidenta gadījumā.

Konteksts

Drošu 5G tīklu savlaicīga izvēršana ir svarīga Eiropas Savienības prioritāte. Lai veicinātu šā mērķa sasniegšanu, ES dalībvalstis ar Eiropas Komisijas un ENISA atbalstu ir izstrādājušas saskaņotu pieeju 5G tīklu kiberdrošībai. Izmantojot šo saskaņoto pieeju, ES dalībvalstis kopīgi novērtēja galvenos riskus, kas saistīti ar 5G tīkliem (“ES koordinēts riska novērtējums”), un 2020. gada janvārī pieņemtās ES 5G rīkkopas veidā definēja visaptverošu un uz risku balstītu pieeju. ES 5G rīkkopā ir ieteikts kopīgu riska mazināšanas pasākumu kopums.

ES 5G rīkkopa ietver stratēģiskus un tehniskus pasākumus un attiecīgas darbības, kas pastiprina to efektivitāti. ES 5G rīkkopas galvenie pasākumi ietver drošības prasību stiprināšanu, piegādātāju riska profilu novērtēšanu, piemērojot attiecīgus ierobežojumus piegādātājiem, kurus uzskata par ļoti riskantiem, tostarp nepieciešamos izņēmumus attiecībā uz galvenajiem aktīviem, ko uzskata par kritiski nozīmīgiem un sensitīviem (piemēram, pamattīkla funkcijām), un ieviešot stratēģijas, ar kurām nodrošināt pārdevēju dažādošanu un izvairīties no atkarības.

Lai turpinātu un padziļinātu ES koordinācijas procesu 5G kiberdrošības jomā, 2020. gada decembra ES kiberdrošības stratēģijā tika noteikti trīs galvenie mērķi: 1) nodrošināt riska mazināšanas pieeju turpmāku konverģenci visā ES; 2) atbalstīt pastāvīgu zināšanu apmaiņu un spēju veidošanu; 3) veicināt piegādes ķēžu noturību un citus ES stratēģiskos drošības mērķus.

Šo galveno mērķu ietvaros TID sadarbības grupa turpinās uzraudzīt un izvērtēt jautājumus, kas saistīti ar jaunām tendencēm un norisēm 5G piegādes ķēdē. Tā kā atvērtais RAN ir tirgus tendence 5G un 6G arhitektūru attīstībā, dalībvalstis ir nolēmušas veikt padziļinātu analīzi par atvērtā RAN ietekmi uz drošību, lai papildinātu koordinēto 5G riska analīzi.

Plašāka informācija

ES 5G kiberdrošības rīkkopa

TID sadarbības grupa

[1] Eiropas Parlamenta un Padomes Regulas (ES) Nr. 1025/2012 (2012. gada 25. oktobris) par Eiropas standartizāciju 2. apsvērums.