Отчет Евросоюза: связь пятого поколения несет в себе массу киберугроз

Государства - члены Европейского Союза - опубликовали совместный отчет об оценках рисков, связанных с использованием 5G-технологий, в котором подчеркнуты повышенные риски в сфере безопасности, требующие нового подхода к защите телекоммуникаций.

До недавнего времени в странах ЕС игнорировали давление со стороны США, призывавших бойкотировать китайскую технологическую компанию Huawei при выборе поставщика оборудования для организации сетей 5G из соображений безопасности. При этом отдельные государства ЕС все же обсуждали такую возможность.

Однако авторы отчета указывают на риск для инфраструктуры 5G, исходящий от, как они называют, "стран, не являющихся членами ЕС, либо игроков, пользующихся поддержкой государства" (что можно считать дипломатичным намеком на Huawei). Впрочем, в ближайшее время, по мнению некоторых экспертов, все может измениться - в частности, это может случиться после Брекзита...

Еще в марте, когда европейские страны решали, как им реагировать на настойчивые требования США отказаться от сотрудничества с Huawei, Комиссия выработала ряд рекомендаций, призвав государства-члены ЕС усилить индивидуальную и коллективную бдительность, дабы снизить возможные риски по мере приближения запуска сетей 5G.

Нынешний отчет о рисках уходит своими корнями в то время.

В отчете упомянуто несколько "проблем системы безопасности", которые, по мнению его авторов, "могут проявиться либо стать более опасными в сетях 5G" (в отличие от существующих сетей). Речь идет о программном обеспечении, которое получит более широкое применение при организации сетей 5G, а также о приложениях, которые появятся с запуском сетей нового поколения.

Среди проблем безопасности, характерных для новой эпохи, авторы отчета упомянули и роль поставщиков при постройке 5G-сетей и управлении ими. В частности, авторы отчета предостерегают от попадания в зависимость от отдельных поставщиков, и рекомендуют при выборе поставщика оборудования для сетей 5G не складывать "все яйца в одну корзину".

Проанализировав все изменения, ожидаемые после запуска 5G, авторы отчета сделали следующие прогнозы:

-Повышенная подверженность атакам и большее количество уязвимостей для злоумышленников. Поскольку сети 5G в значительно большей степени, чем их предшественники, основаны на программном обеспечении, при их эксплуатации все большее значение приобретают риски, связанные с недостатками в системе безопасности - в частности, вызванными проблемами при их разработке поставщиками. Они также могут значительно упростить злоумышленникам внедрение в систему "бэкдоров" и затруднить их обнаружение.

-В силу новых характеристик и функциональных особенностей архитектуры сетей 5G определенные компоненты сетевого оборудования или их функции становятся более чувствительными к атакам. В частности, следует упомянуть такие элементы, как базовые станции или ключевые функции технического управления сетями.

-Повышенная подверженность рискам, связанным с зависимостью операторов мобильной связи от конкретных поставщиков. Этот фактор также приводит к увеличению количества способов осуществления атак, используемых злоумышленниками. Среди потенциальных организаторов атак на сети 5G наиболее серьезную опасность представляют государства, не являющиеся членами ЕС, а также хакеры, получающие поддержку от государства.

-В данном контексте - с учетом повышенной уязвимости к атакам продукции определенных поставщиков - особенно возрастает важность "профиля риска" конкретного поставщика - включая вероятность того, что поставщик может быть подвержен влиянию со стороны страны, не являющейся членом ЕС.

-Повышенные риски, которые несет в себе сильная зависимость от поставщиков: большая зависимость от одного поставщика несет в себе угрозу, связанную с внезапным прекращением поставок, например, в результате проблем коммерческого характера либо их последствий. Данная зависимость также усугубляет потенциальное влияние на функционирование системы недоработок и уязвимостей, а также возможность их использования злоумышленниками, в частности, когда идет речь о зависимости от поставщика, представляющего высокую степень риска.

-Угрозы доступности и целостности сетей станут главными проблемами безопасности: в силу того, что сети 5G станут основой для работы многих критически важных IT-приложений, вопрос целостности и доступности этих сетей, в дополнение к угрозам конфиденциальности и частной жизни, станет основным вопросом национальной безопасности для стран ЕС.

Отчет был подготовлен на высоком уровне и представляет собой свод национальных оценок рисков, сделанных государствами-членами ЕС, сотрудничающими с Комиссией и Европейским агентством кибербезопасности. Он должен стать первым шагом на пути к разработке на общеевропейском уровне решений по обеспечению безопасности сетей 5G.

"В отчете освещаются элементы, имеющие особое стратегическое значение для ЕС, - говорится в преамбуле документа. - Таким образом, он не призван дать исчерпывающий анализ всех аспектов или типов частных рисков, связанных с вопросами кибербезопасности и имеющих отношение к сетям 5G".

Следующим шагом станет создание до 31 декабря набора смягчающих инструментов, согласованных Группой по сотрудничеству в сфере сетей и информационных систем, которые должны дать решение выявленных рисков на национальном уровне и уровне ЕС.

"До 1 октября 2020 года государства-члены ЕС должны при поддержке Комиссии рассмотреть возможные эффекты от принятия рекомендаций, дабы определиться с дальнейшими действиями в этой сфере. Эти решения должны учитывать скоординированные результаты оценки рисков на европейском уровне, а также эффективность принимаемых мер", - добавляют в Комиссии.

При разработке комплекса мер и инструментов, вероятно, будут учтены существующие требования к безопасности, принятые для мобильных сетей предыдущих поколений с использованием рекомендаций, полученных в ходе утверждения стандартов систем мобильной телефонии, проводимой органами стандартизации систем мобильной телефонии, 3GPP - в особенности для ядра и уровня доступа сетей 5G.

Однако авторы отчета предупреждают о том, что "фундаментальные отличия в принципах работы сетей 5G от сетей прежних поколений приведут к тому, что существующие методы обеспечения безопасности, принятые для сетей 4G могут быть малоэффективны или недостаточно комплексны для решения проблемы выявленных рисков системы безопасности", добавляя, что "характер и природа некоторых из данных рисков таковы, что нам еще предстоит выяснить возможность их предотвращения исключительно техническими мерами".

"Оценка этих мер будет проведена на следующем этапе имплементации рекомендаций Комиссии. Это приведет к определению набора подходящих, эффективных инструментов, соответствующих уровню выявленных рисков, которые являются приемлемыми для решения проблем в сфере кибербезопасности, выявленных государствами - членами ЕС в процессе изучения проблемы".

В заключительной части отчета говорится о необходимости "подумать о развитии на индустриальном уровне в Европе сектора разработки программ, производства оборудования, лабораторного тестирования, проверок на соответствие", - то есть, одним словом, проделать огромный комплекс работ.

Таким образом, бизнес в сфере безопасности сетей 5G должен стать соизмеримым и масштабируемым, дабы решать многомерные задачи безопасности, возникающие по мере развития технологии нового поколения. Простым запретом оборудования одного конкретного производителя вопрос не решить.

4G 5G Huawei