Izvješće o sigurnosti 5G mreža – Ne kupujte kinesko!
5G mreže predstavljaju novu generaciju mobilnih mreža elektroničkih komunikacija. 4G mreže predstavile su mobilni Internet u pravom smislu, dok 5G mreže imaju potencijal predstaviti pravu paradigmatsku promjenu u korištenju interneta. Karakterizirat će ih brzine od više Gbps-a, vrlo niska latencija, ogroman kapacitet i ujednačeno korisničko iskustvo. Takve dramatične promjene u brzini, kapacitetu i pouzdanosti drastično će promijeniti i načine na koje će se mobilne mreže koristiti. Tako se predviđa da će široka implementacija 5G mreža imati velik utjecaj na izraženije korištenje Virtual Reality (VR) i Augmented Reality (AR) tehnologija, mobilne 5G mreže počet će se koristiti u situacijama kada se dosad koristilo isključivo fiksni (optički) pristup internetu, kao što su upravljanje krično važnom infrastrukturom (promet, energetika…). Također, moći će se koristiti i u provođenju medicinskih zahvata na daljinu, kao što su operacije Da Vinci robotskim sustavima (izvrstan članak u New Yorkeru baš u takvoj primjeni je u linku na kraju posta), drastično će povećati korišenje Internet of Things (IoT) uređaja, te još čitav niz usluga koje trenutno ne postoje i čije će osmišljavanje potaknuti upravo karakteristike 5G mreža.
Sukladno svemu navedenom, može se zaključiti kako će 5G mreže imati i veći utjecaj na društvo nego su to imale prijašnje verzije mobilnih mreža. To će se najviše ogledati u prenošenju ključnih državnih infrastruktura i pružanja ključnih javnih usluga preko tih mreža. Stoga, naravno, sigurnosna ugrožavanja takvih mreža bi mogla imati i veće posljedice nego su imala dosada.
Zato su Europska komisija (EK), Europska agencija za kibersigurnost (ENISA) i države članice početkom ovog mjeseca objavile Izvješće o koordiniranoj procjeni rizika kibersigurnosti 5G mreža (Izvješće, priloženo na kraju posta). Izvješće je nastalo kao skup odgovra svih država članica na standardiziran obrazac, u kojem su države članice dale svoje viđenje glavnih sigurnosnih problema implementacije 5G mreža. Kako EK predviđa implementaciju komercijalnih 5G mreža u sve države članice do kraja 2020. (u Hrvatskoj je Hrvatski telekom već počeo sa prvim ograničenim demonstracijama ), Izvješće dolazi pravovremeno.
Izvješće se, između ostalog, sastoji od predviđanja glavnih prijetnji i aktera koji ih predstavljaju, glavnih ranjivosti sustava, scenarija rizika i prijedloga za njihovo izbjegavanje.
Čini mi se kako se naglašava kako je kao najveća opasnost naglašena mogućnost kompromitacije sustava od strane određenih dobavljača 5G opreme. Naime, u Izvješću se naglašava kako 5G opremu, na svjetskom tržištu, može isporučiti samo nekoliko kompanija. Neke imaju sjedište unutar EU (Ericsson, Nokia), dok neke imaju sjedište izvan EU (Huawei, ZTE, Samsung, Cisco). Korporativno upravljanje takvim gospodarskim subjektima je dramatično različito, kao što je i razina transparentnosti njihova poslovanja i struktura njihova vlasništva.
U tom kontekstu, u nastavku Izvješća dodatno se naglašava sigurnosna opasnost koju predstavlju države ili akteri koje podupiru države. Tako se naglašava kako oni imaju motivaciju i sposobnost provesti sofisticirane napade na sigurnosti 5G mreža. Kombinacija tih faktora omogućava državama kompleksne napade na ključne javne usluge koje će se pružati preko 5G mreža, što kao posljedicu može imati smanjivanje povjerenja građana u mobilne tehnologije i posljedično 5G mreže, što može dovesti do slabije penetracije takvih usluga i mreža. Opet, naglašava se kako najveža opasnost za takve napade dolazi od država koje nisu članice EU, te su države članice i imenovale te države (iako se poimence ne spominju u Izvješću).
Opasnost od napada od strane države koja nije članica EU posebno raste ako je prisutan neki od sljedećih faktora;
- snažna veza između dobavljača 5G infrastrukturne opreme i vlade te države,
- ako u toj državi ne postoji snažan demokratski ”checks and balances” sustav, ili ako ne postoje sporazumi te države i EU o zaštiti podataka,
- upitna vlasnička struktura dobavljača 5G opreme,
- mogućnost države da provodi pritisak na dobavljača 5G opreme u pogledu karakteristika poizvedene opreme.
Zaključno
Izvješće je vrlo zanimljiv prikaz razmišljanja odgovornih tijela država članica, ali i tijela EU. Mislim da ga se može sažeti u nekoliko glavnih zaključaka;
- kupujte 5G opremu od EU dobavljača (Ericsson, Nokia)
- ako već ne kupujete od EU dobavljača, nikako ne kupujte od kineskih (Huawei, ZTE)
Naime, sve glavne navedene sigurnosne opasnosti odnose se na Kinu i kineske dobavljače 5G opreme, iako se u Izvješću jako pazi da ih se poimence ne spomene. Tako je važno naglasiti kako Kina ima jake veze i sa Huaweijem i ZTE-om, kako Kina nema razrađen demokratski sustav ”checks and balances” kao ni sporazume o zaštiti podataka sa EU, postoje naznake da Kina sudjeluje u vlasničkoj strukturi bar Huaweija, što naravno dovodi do mogućnosti provođenja pritiska na dobavljače kroz, npr., ugrađivanje sigurnosnih propusta u isporučenu opremu.
Elektroničke komunikacije 5G mreže Elektroničke komunikacije kibersigurnost
