Glavni sadržaj
Predstavništvo Europske komisije u Hrvatskoj
Informativni članak11. svibnja 2022.Predstavništvo u HrvatskojPredviđeno vrijeme čitanja: 7 min

Kibersigurnost 5G mreža: EU objavio izvješće o sigurnosti otvorene radijske pristupne mreže (Open RAN)

Kako bi se ublažili ti rizici i iskoristile potencijalne mogućnosti Open RAN-a, u izvješću se preporučuje niz mjera koje se temelje na paketu instrumenata EU-a za 5G.

Kibersigurnost 5G mreža: EU objavio izvješće o sigurnosti otvorene radijske pristupne mreže (Open RAN)

Države članice EU-a danas su, uz potporu Europske komisije i ENISA-e, Agencije EU-a za kibersigurnost, objavile izvješće o kibersigurnosti otvorene radijske pristupne mreže (Open RAN). Riječ je o novoj arhitekturi 5G mreža koja će sljedećih godina omogućiti alternativni način uvođenja dijela 5G mreža za radijski pristup koji se temelji na otvorenim sučeljima. To je još jedan važan korak u koordinaciji kibersigurnosti 5G mreža na razini EU-a, kojim se pokazuje odlučnost da se nastavi zajednički odgovarati na sigurnosne izazove 5G mreža i ukorak pratiti razvoj 5G tehnologije i arhitekture.

Građani i poduzeća Unije koji upotrebljavaju napredne i inovativne aplikacije omogućene 5G mrežom i mobilnim komunikacijskim mrežama budućih generacija trebali bi biti zaštićeni najvišim sigurnosnim standardima. Države članice su, na temelju prethodnog koordiniranog rada na razini EU-a u cilju jačanja sigurnosti 5G mreža s pomoću paketa instrumenata EU-a za kibersigurnost 5G mreža, analizirale sigurnosne aspekte mreže Open RAN.

Izvršna potpredsjednica za Europu spremnu za digitalno doba Margrethe Vestager izjavila je: Naš je zajednički prioritet i odgovornost osigurati pravodobno uvođenje 5G mreža u Europi i istodobno osigurati njihovu sigurnost. Open RAN arhitekture otvaraju nove mogućnosti na tržištu, ali se u ovom izvješću navodi i da postoje važni sigurnosni izazovi, posebno kratkoročno. Važno je da svi sudionici posvete dovoljno vremena i pozornosti ublažavanju takvih izazova kako bi se mogao ostvariti potencijal Open RAN-a.

Povjerenik za unutarnje tržište Thierry Breton dodao je: S obzirom na to da se 5G mreže uvode u cijeloj Uniji, a naša se gospodarstva sve više oslanjaju na digitalnu infrastrukturu, važnije je nego ikad osigurati visoku razinu sigurnosti naših komunikacijskih mreža. To smo učinili s paketom instrumenata za kibersigurnost 5G tehnologije, a ovim novim izvješćem, u suradnji s državama članicama, isto to činimo s Open RAN tehnologijom. Odabir tehnologije nije stvar o kojoj trebaju odlučivati javna tijela, no naša je odgovornost procijeniti rizike povezane s pojedinačnim tehnologijama. Ovo izvješće pokazuje da Open RAN nudi niz mogućnosti, ali sa sobom donosi i znatne sigurnosne izazove koji i dalje nisu riješeni i ne smiju se podcijeniti. Eventualno uvođenje Open RAN-a u europske 5G mreže ni u kojem slučaju ne bi smjelo dovesti do novih slabosti.

Guillaume Poupard, glavni direktor francuske Nacionalne agencije za kibersigurnost (ANSSI), izjavio je: Nakon paketa instrumenata EU-a za kibersigurnost 5G mreža ovo je izvješće još jedna prekretnica u naporima Skupine za suradnju u području sigurnosti mrežnih i informacijskih sustava da koordinira i ublaži sigurnosne rizike naših 5G mreža. Podrobna sigurnosna analiza Open RAN-a pridonijet će tome da naš zajednički pristup ide ukorak s novim trendovima i prati povezane sigurnosne izazove. Nastavit ćemo zajednički rješavati te izazove.

U izvješću se navodi da bi Open RAN mogao donijeti sigurnosna poboljšanja ako se ispune određeni uvjeti. Zahvaljujući većoj interoperabilnosti među komponentama RAN-a različitih dobavljača, Open RAN bi omogućio veću diversifikaciju dobavljača u mrežama na istom zemljopisnom području. Na taj bi se način moglo pridonijeti ostvarenju preporuke iz paketa instrumenata EU-a za 5G, naime da svaki operator treba imati odgovarajuću strategiju s više dobavljača kako bi se izbjegla ili ograničila znatna ovisnost o jednom dobavljaču. Uz to, Open RAN mogao bi povećati vidljivost mreže zahvaljujući upotrebi otvorenih sučelja i standarda, smanjiti broj ljudskih pogrešaka opsežnijom automatizacijom te povećati fleksibilnost upotrebom virtualizacije i rješenja koja se temelje na oblaku.

Međutim, koncept Open RAN-a još uvijek nije dovoljno razvijen, a kibersigurnosni aspekt i dalje je velik izazov. Zbog veće složenosti mreža Open RAN bi, osobito kratkoročno, mogao pogoršati niz sigurnosnih rizika, kao što su veća izloženost napadima i više ulaznih točaka za zlonamjerne aktere, povećani rizik od pogrešne konfiguracije mreža i mogući učinci na druge mrežne funkcije zbog dijeljenja resursa. U izvješću se navodi i da tehničke specifikacije, npr. one koje je izradio Savez za O-RAN (O-RAN Alliance), koncepcijski još uvijek nisu dovoljno razvijene i sigurne. Open RAN mogao bi dovesti do novih ili povećanih kritičnih ovisnosti, primjerice u području komponenti i oblaka.

Kako bi se ublažili ti rizici i iskoristile potencijalne mogućnosti Open RAN-a, u izvješću se preporučuje niz mjera koje se temelje na paketu instrumenata EU-a za 5G, a posebno sljedeće:

  • upotreba regulatornih ovlasti za nadzor nad planovima mobilnih operatora o uvođenju Open RAN-a u velikim razmjerima i, prema potrebi, za ograničavanje, zabranu i/ili određivanje posebnih zahtjeva ili uvjeta za nabavu, uvođenje velikih razmjera i rad opreme za Open RAN;
  • jačanje ključnih tehničkih kontrola kao što su autentikacija i autorizacija te prilagodba praćenja modularnom okruženju u kojem se prati svaka komponenta;
  • procjena profila rizičnosti pružatelja Open RAN-a, vanjskih pružatelja usluga povezanih s Open RAN-om, pružatelja usluga/infrastrukture u oblaku i integratora sustava te proširenje kontrola i ograničenja koja se primjenjuju na pružatelje upravljanih usluga na navedene pružatelje usluga;
  • uklanjanje nedostataka pri izradi tehničkih specifikacija: taj bi postupak trebao biti u skladu s temeljnim načelima Svjetske trgovinske organizacije / Sporazuma o tehničkim preprekama u trgovini za razvoj međunarodnih standarda[1] te bi trebalo ukloniti sigurnosne nedostatke;
  • uključivanje komponenata Open RAN-a u najranijoj mogućoj fazi u budući program kibersigurnosne certifikacije 5G, koji je trenutačno u izradi.

Kad je riječ o očuvanju i konsolidaciji kapaciteta EU-a na tom tržištu, trebalo bi zadržati tehnološki neutralnu regulativu radi poticanja tržišnog natjecanja. U tom bi se okviru financijska sredstva EU-a i nacionalna sredstva za istraživanje i inovacije u području 5G i 6G tehnologije mogla iskoristiti za potporu poduzećima iz EU-a kako bi se na tržištu natjecala pod jednakim uvjetima. Osim mreže RAN, važno je razmotriti i potencijalne ovisnosti ili manjak raznovrsnosti u cijelom komunikacijskom vrijednosnom lancu radi diversifikacije opskrbe.

Općenito, u izvješću se preporučuje oprez pri prelasku na tu novu arhitekturu. Pri svakom prelasku s postojećih pouzdanih tehnologija i usporednom korištenju tih tehnologija potrebno je najprije posvetiti dovoljno vremena i resursa procjeni rizika, provedbi odgovarajućih mjera ublažavanja i preciznom definiranju odgovornosti u slučaju neuspjeha ili incidenta.

Kontekst

Pravodobno uvođenje sigurnih 5G mreža jedan je od glavnih prioriteta Europske unije. Kako bi pridonijele tom cilju, države članice EU-a, uz potporu Europske komisije i ENISA-e, razvile su usklađeni pristup kibersigurnosti 5G mreža. Tim usklađenim pristupom države članice EU-a zajednički su procijenile glavne rizike povezane s 5G mrežama („koordinirana procjena rizika na razini EU-a”) i definirale sveobuhvatan pristup koji se temelji na riziku u obliku paketa instrumenata EU-a za 5G, koji je donesen u siječnju 2020. U tom se paketu preporučuje skup zajedničkih mjera za smanjenje rizika.

Paket uključuje strateške i tehničke mjere te odgovarajuće mjere za povećanje njihove djelotvornosti. Ključne mjere iz paketa instrumenata EU-a za 5G uključuju jačanje sigurnosnih zahtjeva, procjenu profila rizika dobavljača, primjenu relevantnih ograničenja za dobavljače koji se smatraju visokorizičnima, među ostalim nužnih isključenja iz ključne infrastrukture koja se smatra kritičnom i osjetljivom (kao što su funkcije jezgrene mreže) te uspostavu strategija za diversifikaciju dobavljača.

Kako bi se nastavila i produbila koordinacija na razini EU-a u području kibersigurnosti 5G mreža, u strategiji EU-a za kibersigurnost iz prosinca 2020. utvrđena su tri ključna cilja: 1. daljnja konvergencija pristupâ smanjivanju rizika diljem EU-a; 2. podupiranje stalne razmjene znanja i izgradnje kapaciteta te 3. promicanje otpornosti lanaca opskrbe i drugih strateških sigurnosnih ciljeva EU-a.

U okviru tih ključnih ciljeva Skupina za suradnju u području mrežne i informacijske sigurnosti nastavit će pratiti i procjenjivati pitanja povezana s novim trendovima i kretanjima u lancu opskrbe koji se odnosi na 5G tehnologiju. S obzirom na to da je Open RAN tržišna tendencija u razvoju 5G i 6G arhitekture, države članice odlučile su provesti dubinsku analizu sigurnosnih implikacija Open RAN-a kako bi dopunile koordiniranu analizu rizika za 5G.

Dodatne informacije

Paket instrumenata EU-a za kibersigurnost 5G mreža

Skupina za suradnju u području mrežne i informacijske sigurnosti

 

[1] Uvodna izjava 2. Uredbe (EU) br. 1025/2012 Europskog parlamenta i Vijeća od 25. listopada 2012. o europskoj normizaciji.

Pojedinosti

Datum objave
11. svibnja 2022.
Autor
Predstavništvo u Hrvatskoj