Il 5G merita un focus speciale sulla cyber-sicurezza: lo scrive la Commissione europea nel presentare i risultati dello studio con cui il gruppo di cooperazione istituito dalla direttiva Nis (Commissione europea, Enisa e stati Ue) hanno valutato il livello di rischio per le reti mobili di nuova generazione. Il report fa parte dell’attuazione della raccomdazione della Commissione europea adottata a marzo 2019 per assicurare il più alto grado di protezione cibernetica per le reti 5G di tutta l’Unione europea.
Due le aree di attenzione specifiche per le nuove reti: le innovazioni tecnologiche, che spostano il focus su software, servizi e applicazioni connessi col 5G o abilitati dal 5G; e il ruolo dei fornitori nel costruire e gestire le reti 5G e il grado di dipendenza di paesi e aziende di telecomunicazione da vendor collocati in paesi non-Ue.
Il ruolo dei vendor non-Ue
Nessun riferimento alla Cina, al caso Huawei e alle accuse di cyber-spionaggio tramite i prodotti dei vendor Tlc cinesi, ma lo studio europeo traccia un quadro del mercato che lascia pochi dubbi. L’industria delle attrezzature telecom è dominata da una “manciata di multinazionali capaci di fornire ai grandi operatori di telecomunicazioine le tecnologie necessarie”, si legge. In termini di market share, “i principali fornitori sono Huawei, Ericsson e Nokia. Altri fornitori includono Zte, Samsung e Cisco. Alcuni di questi fornitori hanno sede in Ue (Ericsson e Nokia) mentre altri hanno sede al di fuori dell’Ue – continua il report – La loro corporate governance presenta notevoli differenze, per esempio per quel riguarda il livello di trasparenza e la struttura di corporate ownership”.
Il report sottolinea anche il ruolo dei sub-contractor per alcuni fornitori di attrezzature di rete, che erogano servizi come network management e data center. La creazione di reti basate su software con forti componenti di virtualizzazione apre grandi spazi alla gestione di funzioni chiave della rete da parte di sotto-fornitori che potrebbero essere localizzati in paesi anche fuori dall’Ue.
Il rischio legato ai singoli fornitori – continua lo studio – può essere valutato sulla base di diversi fattori come “la probabilità che il fornitore sia soggetto all’interferenza di un paese non-Ue”. Questa interferenza può essere facilitata dalla presenza di un forte legame tra il fornitore e un governo di un paese terzo; la legislazione del paese terzo, soprattutto se priva di tutele democratiche; le caratteristiche della struttura proprietaria del fornitore; la capacità del paese terzo di esercitare qualsiasi forma di pressione, incluso sul luogo di produzione delle attrezzature. Un paese ostile potrebbe esercitare pressione sui fornitori 5G per facilitare cyber-attacchi. Il grado di esposizione a questo rischio è fortemente influenzato dal legame tra il vendor e il suo paese.
Interferenze dai paesi ostili
Rilevante è anche il contesto di una supply chain globale sempre più “complessa e interdipendente” e il fatto che gran parte della manifattura e supporto dei sistemi di rete avviene fuori dall’Ue. Lungo questa supply chain un fornitore potrebbe essere soggetto a pressioni di uno stato ostile che esige che sia fornito accesso a asset di rete sensibili di un operatore di rete tramite “vulnerabilità embedded” sia in modo intenzionale che non intenzionale.
Le minacce considerate più preoccupanti sono mirate a colpire tre fattori strategici: disponibilità, integrità e riservatezza delle reti con azioni quali “la perturbazione delle delle reti 5G locali o globali, lo spionaggio del traffico e dei dati, il dirottamento dei dati, la distruzione o l’alterazione delle infrastrutture digitali o dei sistemi di informazione attraverso le reti 5G”.
Il rischio spionaggio tramite backdoor
Tra le principali aree della cyber-sicurezza che sentiranno l’impatto dell’implementazione delle nuove reti 5G e dei servizi connessi viene evidenziata una “accresciuta esposizione agli attacchi e moltiplicazione dei punti di ingresso” per i cyber-criminali. Poiché le reti 5G sono sempre più basate su software, aumentano i rischi connessi con le falle di sicurezza che possono derivare, per esempio, da processi di sviluppo software meno attenti a livello dei fornitori. Questo, si legge nello studio, “potrebbe rendere più facile per attori malevoli inserire backdoor nei prodotti e rendere tali porte di ingresso malevoli difficili da scoprire”. Si rischia di favorire lo spionaggio di altri paesi o di attori sostenuti da paesi ostili.
Esiste anche una maggiore esposizioni ai rischi connessi con la dipendenza degli operatori di rete mobile dai fornitori. Questo porterà a un “più alto numero di direttrici di attacco che potrebbero essere sfruttate da attori malevoli e a un incremento della potenziale gravità dell’impatto di tali attacchi”. Gli stati non-Ue o gli attori sponsorizzati dagli stati sono considerati i più pericolosi e anche quelli che con maggiore probabilità attaccheranno le reti 5G. Di qui l’importanza di valutare il profilo di rischio di ogni singolo fornitore, inclusa la probabilità che il fornitore sia soggetto a interferenza di un paese non-Ue.
Siccome le reti 5G saranno la spina dorsale di molte applicazioni It cruciali, in aggiunta alle minacce su riservatezza e privacy, lo studio teme che l’integrità e disponibilità delle nuove reti diventerà “una delle massime preoccupazioni per la sicurezza nazionale e una delle massime sfide di security su scala Ue”. La Commissione europea sottolinea la possibilità di condurre attacchi persistenti e sofisticati alla sicurezza delle reti 5G con impatti più devastanti che per le precedenti generazioni mobili e un un impatto maggiore su servizi essenziali per il pubblico o sui dati sensibili. A rischio ci sono sia le infrastrutture di rete che i dispositivi in mano all’utente finale, compresi tutti gli oggetti connessi (Internet of Things).
Un nuovo paradigma per la sicurezza
Uno scenario del genere rende necessario un nuovo approccio alla sicurezza cibernetica. L’Europa intende passare in rassegna e aggiornare le attuali politiche e strategie di sicurezza applicabili al settore e al suo ecosistema. Entro il 31 dicembre 2019 il Gruppo di cooperazione Nis dovrà raggiungere un accordo sulle misure atte a mitigare i nuovi rischi di cybersecurity a livello nazionale e Ue.
Inoltre, entro il 1 ottobre 2020, gli stati membri insieme alla Commissione europea dovranno valutare se occorrono nuove azioni per affrontare i rischi cyber connessi col 5G.