Государства – члены Европейского Союза – опубликовали совместный отчёт об оценках рисков, связанных с использованием 5G-технологий, в котором подчёркнуты повышенные риски в сфере безопасности, требующие нового подхода к защите телекоммуникаций.
До недавнего времени в странах ЕС игнорировали давление со стороны США, призывавших бойкотировать китайскую технологическую компанию Huawei при выборе поставщика оборудования для организации сетей 5G из соображений безопасности. При этом отдельные государства ЕС всё же обсуждали такую возможность.
Однако авторы отчёта указывают на риск для инфраструктуры 5G, исходящий от, как они называют, «стран, не являющихся членами ЕС, либо игроков, пользующихся поддержкой государства» (что можно считать дипломатичным намёком на Huawei). Впрочем, в ближайшее время, по мнению некоторых экспертов, всё может измениться – в частности, это может случиться после Брекзита…
Ещё в марте, когда европейские страны решали, как им реагировать на настойчивые требования США отказаться от сотрудничества с Huawei, Комиссия выработала ряд рекомендаций, призвав государства-члены ЕС усилить индивидуальную и коллективную бдительность, дабы снизить возможные риски по мере приближения запуска сетей 5G.
Нынешний отчёт о рисках уходит своими корнями в то время.
В отчёте упомянуто несколько «проблем системы безопасности», которые, по мнению его авторов, «могут проявиться либо стать более опасными в сетях 5G» (в отличие от существующих сетей). Речь идёт о программном обеспечении, которое получит более широкое применение при организации сетей 5G, а также о приложениях, которые появятся с запуском сетей нового поколения.
Среди проблем безопасности, характерных для новой эпохи, авторы отчёта упомянули и роль поставщиков при постройке 5G-сетей и управлении ими. В частности, авторы отчёта предостерегают от попадания в зависимость от отдельных поставщиков, и рекомендуют при выборе поставщика оборудования для сетей 5G не складывать «все яйца в одну корзину».
Проанализировав все изменения, ожидаемые после запуска 5G, авторы отчёта сделали следующие прогнозы:
- Повышенная подверженность атакам и большее количество уязвимостей для злоумышленников. Поскольку сети 5G в значительно большей степени, чем их предшественники, основаны на программном обеспечении, при их эксплуатации всё большее значение приобретают риски, связанные с недостатками в системе безопасности – в частности, вызванными проблемами при их разработке поставщиками. Они также могут значительно упростить злоумышленникам внедрение в систему «бэкдоров» и затруднить их обнаружение.
- В силу новых характеристик и функциональных особенностей архитектуры сетей 5G определённые компоненты сетевого оборудования или их функции становятся более чувствительными к атакам. В частности, следует упомянуть такие элементы, как базовые станции или ключевые функции технического управления сетями.
- Повышенная подверженность рискам, связанным с зависимостью операторов мобильной связи от конкретных поставщиков. Этот фактор также приводит к увеличению количества способов осуществления атак, используемых злоумышленниками. Среди потенциальных организаторов атак на сети 5G наиболее серьёзную опасность представляют государства, не являющиеся членами ЕС, а также хакеры, получающие поддержку от государства.
- В данном контексте – с учётом повышенной уязвимости к атакам продукции определённых поставщиков – особенно возрастает важность «профиля риска» конкретного поставщика – включая вероятность того, что поставщик может быть подвержен влиянию со стороны страны, не являющейся членом ЕС.
- Повышенные риски, которые несёт в себе сильная зависимость от поставщиков: большая зависимость от одного поставщика несёт в себе угрозу, связанную с внезапным прекращением поставок, например, в результате проблем коммерческого характера либо их последствий. Данная зависимость также усугубляет потенциальное влияние на функционирование системы недоработок и уязвимостей, а также возможность их использования злоумышленниками, в частности, когда идёт речь о зависимости от поставщика, представляющего высокую степень риска.
- Угрозы доступности и целостности сетей станут главными проблемами безопасности: в силу того, что сети 5G станут основой для работы многих критически важных IT-приложений, вопрос целостности и доступности этих сетей, в дополнение к угрозам конфиденциальности и частной жизни, станет основным вопросом национальной безопасности для стран ЕС.
Отчёт был подготовлен на высоком уровне и представляет собой свод национальных оценок рисков, сделанных государствами-членами ЕС, сотрудничающими с Комиссией и Европейским агентством кибербезопасности. Он должен стать первым шагом на пути к разработке на общеевропейском уровне решений по обеспечению безопасности сетей 5G.
«В отчёте освещаются элементы, имеющие особое стратегическое значение для ЕС, – говорится в преамбуле документа. – Таким образом, он не призван дать исчерпывающий анализ всех аспектов или типов частных рисков, связанных с вопросами кибербезопасности и имеющих отношение к сетям 5G».
Следующим шагом станет создание до 31 декабря набора смягчающих инструментов, согласованных Группой по сотрудничеству в сфере сетей и информационных систем, которые должны дать решение выявленных рисков на национальном уровне и уровне ЕС.
«До 1 октября 2020 года государства-члены ЕС должны при поддержке Комиссии рассмотреть возможные эффекты от принятия рекомендаций, дабы определиться с дальнейшими действиями в этой сфере. Эти решения должны учитывать скоординированные результаты оценки рисков на европейском уровне, а также эффективность принимаемых мер», – добавляют в Комиссии.
При разработке комплекса мер и инструментов, вероятно, будут учтены существующие требования к безопасности, принятые для мобильных сетей предыдущих поколений с использованием рекомендаций, полученных в ходе утверждения стандартов систем мобильной телефонии, проводимой органами стандартизации систем мобильной телефонии, 3GPP – в особенности для ядра и уровня доступа сетей 5G.
Однако авторы отчёта предупреждают о том, что «фундаментальные отличия в принципах работы сетей 5G от сетей прежних поколений приведут к тому, что существующие методы обеспечения безопасности, принятые для сетей 4G могут быть малоэффективны или недостаточно комплексны для решения проблемы выявленных рисков системы безопасности», добавляя, что «характер и природа некоторых из данных рисков таковы, что нам ещё предстоит выяснить возможность их предотвращения исключительно техническими мерами».
«Оценка этих мер будет проведена на следующем этапе имплементации рекомендаций Комиссии. Это приведёт к определению набора подходящих, эффективных инструментов, соответствующих уровню выявленных рисков, которые являются приемлемыми для решения проблем в сфере кибербезопасности, выявленных государствами – членами ЕС в процессе изучения проблемы».
В заключительной части отчёта говорится о необходимости «подумать о развитии на индустриальном уровне в Европе сектора разработки программ, производства оборудования, лабораторного тестирования, проверок на соответствие», – то есть, одним словом, проделать огромный комплекс работ.
Таким образом, бизнес в сфере безопасности сетей 5G должен стать соизмеримым и масштабируемым, дабы решать многомерные задачи безопасности, возникающие по мере развития технологии нового поколения. Простым запретом оборудования одного конкретного производителя вопрос не решить. Источник
