EÚ uverejnila správu o bezpečnosti otvorenej rádiovej prístupovej siete 5G

Členské štáty EÚ uverejnili správu o kybernetickej bezpečnosti otvorenej RPS vypracovanú v spolupráci s Európskou komisiou a agentúrou EÚ pre kybernetickú bezpečnosť ENISA. V nasledujúcich rokoch bude tento nový typ architektúry sietí 5G poskytovať alternatívny spôsob zavádzania rádiového prístupu do 5G sietí cez otvorené rozhrania. Ide o ďalší významný krok v koordinovanom úsilí na úrovni EÚ v oblasti kybernetickej bezpečnosti 5G sietí, ktorý potvrdzuje pevné rozhodnutie naďalej spoločne reagovať na bezpečnostné výzvy 5G sietí a držať krok s vývojom technológií a architektúry 5G.

Občania a firmy v EÚ, ktoré využívajú pokročilé a inovačné aplikácie s podporou 5G, ako aj ďalšie generácie mobilných komunikačných sietí, by mali využívať ten najvyšší štandard zabezpečenia. V nadväznosti na doterajšie výsledky práce koordinovanej na úrovni EÚ v snahe zvýšiť bezpečnosť sietí 5G prostredníctvom súboru nástrojov EÚ pre kybernetickú bezpečnosť 5G, členské štáty analyzovali bezpečnostné aspekty otvorenej RPS.

Výkonná podpredsedníčka pre Európu pripravenú na digitálny vek Margrethe Vestagerová k tomu uviedla: „Našou spoločnou prioritou a zodpovednosťou je zabezpečiť včasné zavedenie 5G sietí v Európe a zaručiť ich bezpečnosť. Architektúra otvorenej RPS prináša na trh nové možnosti, ktoré však zároveň môžu, ako tvrdí správa, predstavovať vážne bezpečnostné riziká, a to najmä v krátkodobom horizonte. Zrealizovanie sľubu otvorenej RPS záleží na ochote všetkých účastníkov venovať dostatok času a pozornosti opatreniam, ktoré tieto riziká odstránia.“

Komisár pre vnútorný trh Thierry Breton dodal: „So zavádzaním 5G sietí v EÚ sa naše hospodárstva čoraz viac spoliehajú na digitálne infraštruktúry, a preto je dnes vysoká úroveň zabezpečenia našich komunikačných sietí dôležitejšia viac ako kedykoľvek predtým. Preto sme zaviedli súbor nástrojov EÚ pre kybernetickú bezpečnosť 5G. V tomto duchu a v súlade so závermi v správe teraz pracujeme s členskými štátmi na otvorenej RPS. Výber technológií nezávisí od subjektov verejného sektora. Je však našou zodpovednosťou posúdiť riziká spojené s jednotlivými technológiami. Správa upozorňuje na to, že s otvorenými rádiovými prístupovými sieťami súvisia nové možnosti, ale aj niekoľko významných bezpečnostných otázok, ktoré nemôžeme podceniť, ani ignorovať. V žiadnom prípade nesmie potenciálne zavedenie otvorenej RPS do európskych sietí 5G znamenať nové ohrozenie bezpečnosti.“

Gillume Poupard, generálny riaditeľ francúzskej Národnej agentúry pre kybernetickú bezpečnosť (ANSSI) povedal: „Po súbore nástrojov EÚ pre kybernetickú bezpečnosť 5G je táto správa ďalším míľnikom v úsilí skupiny pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti koordinovane zamedziť bezpečnostné riziká 5G sietí. Táto dôkladná analýza otvorenej RPS pomáha zaručiť súlad našich krokov s novými trendmi a súvisiacimi bezpečnostnými hrozbami. Budeme pokračovať v našom úsilí riešiť tieto hrozby spoločne.“

V správe sa uvádza, že otvorená RPS môže za určitých podmienok znamenať aj prínos z hľadiska bezpečnosti. Vďaka vyššej interoperabilite sieťových komponentov od rôznych dodávateľov, môže otvorená RPS priniesť väčšiu rozmanitosť dodávateľov v sieťach na tom istom geografickom území. To by prispelo k splneniu odporúčania týkajúceho sa súboru nástrojov EÚ pre 5G, podľa ktorého by mal mať každý prevádzkovateľ adekvátnu stratégiu založenú na viacerých dodávateľoch, aby tak nebol príliš závislý od jedného dodávateľa. Otvorená sieť RPS by zároveň mohla zvýšiť viditeľnosť siete používaním otvorených rozhraní a noriem, znížiť počet ľudských chýb väčšou automatizáciou a zvýšiť flexibilitu využívaním virtualizácie a cloudových riešení.

Koncept otvorenej RPS však stále nie je dostatočne vyspelý a otázka kybernetickej bezpečnosti zostáva aj naďalej otvorená. Najmä z krátkodobého hľadiska by otvorená RPS zvýšila zložitosť sietí, a priniesla tak so sebou množstvo bezpečnostných rizík. Tieto riziká vyplývajú napríklad z rozšírenia priestoru na kybernetický útok a zo zvýšenia počtu prístupových bodov pre aktérov s nekalými úmyslami, zo zvýšeného rizika nesprávnej konfigurácie sietí a z možných dosahov na iné funkcie siete v dôsledku zdieľania zdrojov. V správe sa tiež konštatuje, že navrhnuté technické špecifikácie napr. tie, ktoré vypracovalo združenie O-RAN, ešte nie sú dostatočne vyspelé a bezpečné. Otvorená RPS môže viesť k novým kritickým závislostiam, napr. v oblasti komponentov a cloudu.

Na zmiernenie týchto rizík a lepšie využitie potenciálnych výhod otvorenej RPS sa v správe odporúča niekoľko opatrení založených na súbore nástrojov EÚ pre 5G, a to najmä:

• Využitie regulačných právomocí na kontrolu plánov veľkoplošného zavádzania otvorených RPS mobilnými operátormi a v prípade potreby obmedzenie, zakázanie a/alebo uloženie osobitných požiadaviek alebo podmienok týkajúcich sa dodávania, rozsiahleho zavádzania a prevádzkovania otvorenej RPS a jej nástrojov;
• Sprísnenie kľúčových technických kontrol, ako sú autentifikácia a autorizácia, a prispôsobenie monitorovacieho režimu modulárnemu prostrediu, v ktorom sa každý komponent monitoruje;
• Posúdenie rizikového profilu poskytovateľov otvorených RPS, externých poskytovateľov služieb súvisiacich s otvorenými RPS, poskytovateľov cloudových služieb/infraštruktúry a systémových integrátorov a zároveň rozšírenie kontrol a obmedzení týkajúcich sa poskytovateľov riadených služieb týmto poskytovateľom;
• Riešenie nedostatkov vo vývoji technických špecifikácií: tento proces by mal byť v súlade so základnými princípmi technických prekážok obchodu podľa Svetovej obchodnej organizácie (WTO) pri vypracúvaní medzinárodných noriem[1] a mal by riešiť bezpečnostné nedostatky;
• Čo najrýchlejšie začlenenie komponentov otvorenej RPS do budúceho systému certifikácie kybernetickej bezpečnosti 5G, ktorý je momentálne vo vývoji.

Pokiaľ ide o zachovanie a konsolidáciu kapacít EÚ na tomto trhu, mala by sa zachovať technologicky neutrálna regulácia v záujme podpory hospodárskej súťaže. V tomto kontexte by sa financovanie výskumu a inovácií v oblasti 5G a 6G na úrovni EÚ a vnútroštátnej úrovni mohlo využiť v prospech rovnakých príležitostí pre hráčov v EÚ. Okrem RPS je dôležité riešiť aj potenciálnu závislosť alebo nedostatočnú rozmanitosť v celom komunikačnom hodnotovom reťazci z hľadiska diverzifikácie dodávok.

Vo všeobecnosti sa v správe odporúča, aby sa k tejto novej architektúre sietí pristupovalo opatrne. Akýkoľvek prechod od existujúcich a koexistujúcich spoľahlivých technológií by sa mal uskutočniť poskytnutím dostatočného času a zdrojov na predbežné posúdenie rizík, zavedenie vhodných zmierňujúcich opatrení a jasné vymedzenie povinností v prípade zlyhania alebo incidentu.

Kontext

Včasné zavedenie bezpečných sietí 5G je pre Európsku úniu vysokou prioritou. Na dosiahnutie tohto cieľa vypracovali členské štáty EÚ s podporou Európskej komisie a agentúry ENISA spoločný plán kybernetickej bezpečnosti sietí 5G. Členské štáty tak mohli spoločne posúdiť hlavné riziká súvisiace so sieťami 5G (v tzv. koordinovanom hodnotení rizík) a vypracovať komplexný plán založený na rizikách v podobe súboru nástrojov EÚ pre 5G prijatého v januári 2020. V súbore nástrojov EÚ pre 5G sa odporúčajú spoločné opatrenia na zmiernenie rizík.

Súbor nástrojov EÚ pre 5G obsahuje jednak strategické a technické opatrenia, ale aj príslušné opatrenia na zvýšenie ich účinnosti. Kľúčové opatrenia v súbore nástrojov EÚ pre 5G zahŕňajú sprísnenie bezpečnostných požiadaviek, posúdenie rizikovosti dodávateľských profilov, príslušné obmedzenia pre dodávateľov považovaných za vysokorizikových vrátane nevyhnutného vylúčenia kľúčových aktív označených za kritické a citlivé (napríklad funkcie základnej siete), zavedenie stratégií diverzifikácie dodávateľov a vyhýbanie sa prílišnej závislosti.

S cieľom pokračovať a prehlbovať proces koordinácie EÚ v oblasti kybernetickej bezpečnosti 5G sa v stratégii kybernetickej bezpečnosti EÚ z decembra 2020 stanovili tri kľúčové ciele: (1) zaisťovanie ďalšej konvergencie prístupov k zmierňovaniu rizík v EÚ, (2) podpora nepretržitej výmeny znalostí a budovania kapacít a (3) podpora odolnosti dodávateľských reťazcov a ďalších strategických cieľov EÚ v oblasti bezpečnosti.

So zreteľom na tieto hlavé ciele, bude skupina pre spoluprácu v oblasti sieťovej a informačnej bezpečnosti naďalej monitorovať a vyhodnocovať riziká spojené s novými trendmi a vývojom v dodávateľskom reťazci 5G. Keďže otvorená RPS je trhový trend vývoja 5G a 6G architektúry, tak sa ku koordinovanej analýze rizík 5G členské štáty rozhodli dodatočne vykonať aj dôkladnú analýzu bezpečnostných vplyvov otvorenej RPS.