Los Estados miembros de la Unión Europea han publicado una publicación conjunta informe de evaluación de riesgos en tecnología 5G que destaca los mayores riesgos de seguridad que requerirán un nuevo enfoque para asegurar la infraestructura de telecomunicaciones.
Hasta ahora, la UE ha resistido la presión de Estados Unidos para boicotear al gigante tecnológico chino Huawei como proveedor de 5G por motivos de seguridad nacional, con Estados miembros individuales como el Reino Unido también tomando su tiempo para analizar el problema.
Pero el informe señala los riesgos para 5G por lo que considera "actores no estatales o respaldados por el estado", que pueden leerse como código diplomático para Huawei. Sin embargo, como algunos observadores de la industria han señalado rápidamente, la etiqueta podría aplicarse más cerca de casa en un futuro próximo, en caso de que Brexit se cumpla …
De nuevo en marzo, como europeo preocupación de la industria de telecomunicaciones arremolinó Sobre cómo responder a la presión de Estados Unidos para bloquear Huawei, la Comisión intervino para emitir una serie de recomendaciones, instando a los Estados miembros a intensificar la atención individual y colectiva para mitigar los riesgos potenciales de seguridad a medida que implementan las redes 5G.
El informe de evaluación de riesgos de hoy se desprende de eso.
Identifica una serie de "desafíos de seguridad" que el informe sugiere que "es probable que aparezcan o se vuelvan más prominentes en las redes 5G" frente a las redes móviles actuales, vinculadas al uso ampliado del software para ejecutar redes 5G; y software y aplicaciones que se habilitarán y ejecutarán en las redes de próxima generación.
El papel de los proveedores en la construcción y operación de redes 5G también se señala como un desafío de seguridad, con el informe que advierte de un "grado de dependencia de proveedores individuales", y también de que se colocan demasiados huevos en la canasta de un solo proveedor 5G.
Resumiendo los efectos que se espera que sigan los lanzamientos de 5G, según el informe, predice:
- Un mayor exposición a ataques y más puntos de entrada potenciales para atacantes: Con las redes 5G cada vez más basadas en software, los riesgos relacionados con fallas de seguridad importantes, como los derivados de procesos de desarrollo de software deficientes dentro de los proveedores están ganando importancia. También podrían facilitar a los actores de amenazas la inserción maliciosa de puertas traseras en los productos y dificultar su detección.
- Debido a las nuevas características de la arquitectura de red 5G y las nuevas funcionalidades, ciertos equipos o funciones de red se están volviendo más sensibles, como las estaciones base o las funciones clave de gestión técnica de las redes.
- Una mayor exposición a riesgos relacionados con dependencia de los operadores de redes móviles de los proveedores. Esto también conducirá a una mayor Número de rutas de ataque que podrían ser explotadas por actores de amenazas e incrementar la gravedad potencial del impacto de tales ataques. Entre los diversos actores potenciales, los Estados no pertenecientes a la UE o respaldados por el Estado se consideran los más serios y los más propensos a atacar las redes 5G.
- En este contexto de mayor exposición a los ataques facilitados por los proveedores, el p erfil de riesgo de proveedores individuales será particularmente importante, incluida la probabilidad de que el proveedor esté sujeto a la interferencia de un país no perteneciente a la UE.
- Aumento de los riesgos de las principales dependencias de los proveedores: una dependencia importante de un solo proveedor aumenta la exposición a una posible interrupción del suministro, como resultado, por ejemplo, de una falla comercial, y sus consecuencias. También agrava el impacto potencial de las debilidades o vulnerabilidades, y de su posible explotación por parte de los actores de amenazas, en particular cuando la dependencia concierne a un proveedor que presenta un alto grado de riesgo.
- Amenazas a la disponibilidad e integridad de las redes. se convertirá en importantes preocupaciones de seguridad: además de la confidencialidad y las amenazas a la privacidad, ya que se espera que las redes 5G se conviertan en la columna vertebral de muchas aplicaciones críticas de TI, la integridad y disponibilidad de esas redes se convertirán en importantes preocupaciones de seguridad nacional y un gran desafío de seguridad desde la perspectiva de la UE.
El informe de alto nivel es una recopilación de las evaluaciones de riesgos nacionales de los Estados miembros, en colaboración con la Comisión y la Agencia Europea para la Ciberseguridad. Se presenta como solo un primer paso en el desarrollo de una respuesta europea para asegurar las redes 5G.
"Destaca los elementos que son de particular relevancia estratégica para la UE", dice el informe en auto-resumen. "Como tal, no tiene como objetivo presentar un análisis exhaustivo de todos los aspectos relevantes o tipos de riesgos de ciberseguridad individuales relacionados con las redes 5G".
El próximo paso será el desarrollo, antes del 31 de diciembre, de una caja de herramientas de medidas de mitigación, acordadas por el Grupo de Cooperación de Redes y Sistemas de Información, que tendrá como objetivo abordar los riesgos identificados a nivel nacional y de la Unión.
“Para el 1 de octubre de 2020, los Estados miembros, en cooperación con la Comisión, deben evaluar los efectos de la Recomendación para determinar si es necesario tomar medidas adicionales. Esta evaluación debería tener en cuenta el resultado de la evaluación europea coordinada del riesgo y la eficacia de las medidas ”, añade la Comisión.
Para la caja de herramientas, es probable que se consideren una variedad de medidas, según el informe, que consisten en los requisitos de seguridad existentes para generaciones anteriores de redes móviles con "enfoques de contingencia" que se han definido a través de la estandarización por parte del organismo de estándares de telefonía móvil, 3GPP, especialmente para niveles centrales y de acceso de redes 5G.
Pero también advierte que "las diferencias fundamentales en la forma en que opera 5G también significa que las medidas de seguridad actuales implementadas en las redes 4G podrían no ser totalmente efectivas o lo suficientemente completas para mitigar los riesgos de seguridad identificados", y agregó que: "Además, la naturaleza y las características de algunos de estos riesgos hace necesario determinar si pueden abordarse solo a través de medidas técnicas.
“La evaluación de estas medidas se llevará a cabo en la fase posterior de la implementación de la Recomendación de la Comisión. Esto conducirá a la identificación de una caja de herramientas de medidas de gestión de riesgos posibles apropiadas, efectivas y proporcionadas para mitigar los riesgos de ciberseguridad identificados por los Estados miembros en este proceso ".
El informe concluye con una línea final que dice que "también se debe considerar el desarrollo de la capacidad industrial europea en términos de desarrollo de software, fabricación de equipos, pruebas de laboratorio, evaluación de la conformidad, etc.", que incluye un montón en una sola oración.
La implicación es que el negocio de la seguridad 5G tendrá que ser proporcionalmente grande para escalar para cumplir con el desafío de seguridad multidimensional que va de la mano con la tecnología de última generación. Simplemente prohibir un solo proveedor no va a cortarlo.