La virtualizzazione delle componenti delle reti cellulari con l’Open-ran comporta dei rischi di sicurezza medio-alti. Lo ha concluso un’analisi di rischio condotta dal Dresden Barkhausen Institute per conto della Bsi (Bundesamt für Sicherheit in der Informationstechnik), l’ufficio federale tedesco per la sicurezza informatica (SCARICA QUI LO STUDIO COMPLETO).
Gli autori raccomandano di prendere attentamente in considerazione la sicurezza dei sistemi nel futuro sviluppo dell’Open-ran e nelle sue implementazioni.
“Come autorità federale per la cybersecurity la Bsi monitora e accompagna il processo di sviluppo dell’Open-ran”, afferma il direttore dell’ente tedesco, Arne Schönbohm. “Per questo abbiamo commissionato un’analisi dei rischi”.
Lo studio valuta le potenziali minacce di cybersecurity della specifica Open-ran fornita dalla O-Ran Alliance, l’alleanza industriale di cui fanno parte i maggiori operatori di rete e numerosi rappresentanti dei settori It e scientifico. Gli autori dello studio hanno esaminato l’impiego della tecnologia Open-Ran su una rete 5G con un core 5G.
I rischi dell’Open-ran: manca la sicurezza by design
Il risultato dell’analisi è che “un grande numero di interfacce e componenti specificate nell’O-ran pone rischi medio-alti”, scrivono gli autori. Ciò non sorprende, si legge ancora, perché l’attuale processo di sviluppo delle specifiche dell’O-ran non è basato sul paradigma security by design e privacy by design e i principi della multilateral security (requisiti minimi di affidabilità di tutte le parti coinvolte) “non sono stati presi in conto”.
Oltre ai rischi legati a fornitori cloud non affidabili o sicuri, lo studio della Bsi rileva potenziali rischi nell’architettura e nelle interface. Accessi non autorizzati alle interfacce di gestione delle componenti della rete potrebbero facilmente causare una compromissione: gli analisti hanno visto come un hacker “potrebbe assumere il controllo completo di un’intera Ran”.
Un altro rischio di security è nel modo in cui è concepito il controller della Ran che, in aggiunta alle funzioni core, fornisce una piattaforma su cui possono essere implementate ulteriori funzioni con applicazioni di terze parti.
Rimediare “dopo” agli errori costerà di più
Anche la O-Ran Alliance ha pubblicato, la scorsa estate, un analisi dei rischio dell’Open-ran e lo studio della Bsi sottolinea che si tratta di un primo importante riconoscimento del tema security legato al nuovo modo di costruire le reti. La Bsi consiglia di portare avanti adesso il lavoro sui requisiti di sicurezza perché “l’esperienza fatta con lo standard 3GPP dimostra che è più laborioso correggere dopo gli errori”.
Lo studio raccomanda in particolare di incorporare il modello della “security/privacy by design” e di considerare la necessità del principio della sicurezza multilaterale.
I dati degli utenti dovrebbero essere messi al sicuro end-to-end fino alla rete core e i protocolli e gli algoritmi di sicurezza non aggiornati dovrebbero essere esplicitamente esclusi. Si dovrebbe anche implementare un “modello che definisce in modo chiaro ruoli e diritti” per quel che riguarda l’accesso alle interfacce e alle app che girano sul controller Ran.
L’appello delle telco europee sull’Open-ran: cogliere l’opportunità ora
Con l’Open-ran, diverse funzioni della rete di accesso radio (Ran) che, nella rete mobile convenzionale, vengono svolte sull’hardware proprietario del fornitore delle telco sono virtualizzate come software su hardware standard e alcune funzioni sono spostate sul cloud. Le telco europee considerano prioritaria l’adozione di questa tecnologia: la migliore opportunità dell’Europa per difendere e far crescere il suo posto nel settore globale del 5G e 6G consiste nella costruzione di un ampio e profondo ecosistema Open-ran, si legge nel report “Building an Open Ran ecosystem for Europe – for Europe to lead in this essential innovation” pubblicato di recente da Tim, Deutsche Telekom, Orange, Telefónica e Vodafone.
L’Open.ran, fa notare il report, “crea opportunità per i fornitori nuovi e tradizionali per supportare questi obiettivi aiutando a promuovere l’innovazione in tutti i settori”. “Ciò – si spiega – aumenta rapidamente la scelta dei componenti e quindi il potenziale per innovare e soddisfare le richieste di una varietà in rapida crescita di diversi casi d’uso e applicazioni”. Le telco chiedono di conseguenza maggior sostegno politico dall’Europa.
Si tratta anche di tenere i fornitori cinesi di attrezzature di rete fuori dall’infrastruttura critica europea, oltre che di un’opportunità per l’industria del vecchio continente e per le sue telco di rendersi indipendenti dai fornitori e di abbassare i costi.
I critici affermano che l’Open-ran potrebbe avere un effetto contrario: consentirà ai player extra Ue di entrare nei mercati europei, mettendo a rischio la sovranità digitale dell’Europa. Ma – ribatte il report – “questo è fuorviante in quanto ignora il fatto che l’Open-ran sta arrivando indipendentemente da ciò che decide l’Europa. È una questione di quando, non di se. La vera domanda è se l’Europa vuole guidare questo nuovo approccio o diventarne una seguace. Se l’Europa non agisce ora, rischia un altro divario tecnologico che danneggerebbe la futura competitività dell’Europa nelle reti di prossima generazione innovative ed efficienti e, in definitiva, la sua leadership e sovranità nella propria regione”.