Lo sviluppo di tecnologie e infrastrutture 5G è uno dei punti chiave della digitalizzazione e uno dei punti cardine dell’internet of things. In Europa, in particolare, si sono levate numerose critiche al 5G, a causa dei potenziali rischi per la sicurezza delle reti informatiche e di telecomunicazione. Per garantire un adeguato livello di sicurezza delle reti 5G, in fase di implementazione delle tecnologie 5G, l’Unione Europea ha predisposto specifiche misure che gli Stati Membri devono adottare.
Misure per rafforzare la sicurezza delle reti 5G
Già a marzo del 2019, la Commissione europea ha adottato la Commission Recommendation on the Cybersecurity of 5G networks, che ha delineato alcune misure chiave per rafforzare la sicurezza informatica delle reti 5G. Dopo ciò, ogni stato membro ha dovuto eseguire un risk assessment delle infrastrutture 5G su scala nazionale, per trasmettere i risultati alla Commissione e all’ENISA, sulla base dei quali è stato redatto il report EU Coordinated Risk Assessment on Cybersecurity in 5G Networks, che identifica le principali minacce e vulnerabilità delle reti 5G.
Lo scorso 29 gennaio, il NIS Cooperation Group ha pubblicato l’EU toolbox of risk mitigating measures, affiancato dalla comunicazione della Commissione, Secure 5G deployment in the EU: Implementing the EU toolbox, che ha sottolineato l’importanza di implementare rapidamente le misure previste dal “toolbox”.
L’analisi si concentrerà sul Report on Member States’ progress in implementing the EU Toolbox on 5G Cybersecurity, previsto dalla comunicazione della Commissione citata precedentemente e finalizzato a fornire una panoramica sullo stato di avanzamento dell’implementazione del “toolbox” da parte degli Stati membri.
Sicurezza delle reti 5G: il report del NIS
Il report, redatto dal NIS Cooperation Group in collaborazione con la Commissione europea e l’ENISA, analizza tutti i progressi fatti dagli Stati membri nell’implementazione delle misure previste dal toolbox, dal momento della sua pubblicazione, il 29 gennaio 2020.
In particolare, il report contiene:
- lo stato di implementazione delle misure previste dal toolbox;
- la natura delle misure nazionali adottate o pianificate;
- una valutazione del grado di convergenza delle misure adottate e pianificate;
- una valutazione dei gap e delle aree in cui sono necessarie ulteriori misure.
Il report assegna a ogni misura strategica (SM), il grado di implementazione da parte degli Stati membri. Il toolbox delineato dal documento del 29 gennaio contiene 7 “strategic measures” che gli Stati membri devono adottare per raggiungere un adeguato livello di sicurezza delle reti 5G.
Le misure strategiche
Innanzitutto, gli Stati membri devono rafforzare il ruolo delle autorità regolative. La maggior parte degli stati ha introdotto normative per affidare alle autorità nazionali il compito di proibire la fornitura, il dispiegamento e il funzionamento di sistemi 5G, invece di avere un mero potere di controllo ex-post. Alcuni stati, inoltre, stanno considerando la creazione di un meccanismo di pre-autorizzazione o di notifica, in modo da poter monitorare ogni caso di impiego di tecnologie 5G. Altri stati membri, invece, stanno addirittura considerando l’ipotesi di adottare misure che garantiscano alle autorità nazionali il potere di ordinare la rimozione di tecnologie 5G, se sono ritenute pericolose per la sicurezza nazionale.
La seconda misura strategica consiste nell’eseguire delle verifiche sugli operatori. Queste verifiche devono essere effettuate a un livello tecnico o su componenti critici o parti sensibili delle reti 5G, in modo da garantire una profonda sicurezza. Inoltre, gli Stati membri dovrebbero chiedere agli operatori informazioni dettagliate relative alle modalità di reperimento degli apparati e relative al coinvolgimento di “third-party suppliers”. Questa misura, da un lato rafforza la capacità delle autorità nazionali di avere le informazioni esatte in modo da poter monitorare l’implementazione, da parte dei Mobile Network Operators, degli obblighi di sicurezza.
In merito a questa misura strategica, il report mostra che gli Stati membri hanno raggiunto un livello di implementazione medio, sebbene in molti Stati non esistano delle metodologie di “audit” nazionali.
La terza misura strategica consiste nel verificare il profilo di rischio dei fornitori e nell’applicare restrizioni ai fornitori considerati “ad alto rischio”. Questo punto si rivela fondamentale, dal momento che la maggior parte degli Stati membri ha valutato come “medio-alto” il livello di esposizione a vendors ad alto rischio. Nonostante ciò, molti di questi Stati hanno dimostrato di non avere un framework per determinare il profilo di rischio dei vendors.
Per quanto riguarda il grado di implementazione, il report mostra un livello di maturità medio. Infatti, soltanto pochi Stati membri hanno adottato misure per minimizzare l’esposizione al rischio. In molti casi, è difficile applicare questa misura, vista la sua complessità, in quanto richiede la considerazione di una serie di fattori di natura non tecnica e, quindi, più difficili da valutare.
Il controllo dell’utilizzo dei Managed Service Providers consiste nello stabilire un framework legale che ponga delle condizioni che i MNO devono rispettare nell’attività di outsourcing di determinate funzioni ai MSPs. Questa misura strategica è a un livello di implementazione medio. Infatti, molti stati hanno dichiarato di non possedere un framework legale apposito, ma molti stanno provvedendo a crearne uno.
La quinta misura strategica prevista consiste nell’assicurare che ogni operatore adotti una strategia multi-vendor, in modo da evitare la dipendenza da un unico supplier. Il report mette in luce come per gli Stati membri il grado di dipendenza stimato dei singoli MNO è medio-alto, il che comporterebbe un alto livello di implementazione di questa misura. Tuttavia, la maggior parte degli Stati membri ritiene che non vi siano mezzi efficaci per mitigare il rischio derivante da questo effetto anomalo. Proprio per questo, il grado di implementazione è molto basso, dato che soltanto due Stati membri hanno dichiarato di aver adottato misure per attuare questa misura.
La sesta misura strategica prevede il rafforzamento della resilienza a livello nazionale. Nonostante questo obiettivo sia sempre più evidenziato come fondamentale da molteplici organizzazioni e specialisti del settore, la misura ha un grado di implementazione molto basso. Molti Stati, infatti, sostengono che non vi sia bisogno di adottare misure in tale direzione, poiché non esiste una dipendenza da un unico supplier.
Infine, è necessario che gli Stati membri monitorino gli Investimenti Diretti Esteri (IDE), in modo da controllare la “value-chain” delle reti 5G e prevenire i rischi connessi. Molti Stati membri (14) hanno già adottato un sistema nazionale di controllo degli IDE. Tuttavia, è necessaria che vi sia un sistema omogeneo di controllo a livello europeo, introdotto dalla EU level FDI screening Regulation, adottata nel 2019 e che deve essere applicata ad ottobre 2020.
Le misure tecniche
Accanto alle misure strategiche, il report analizza il grado di implementazione di 9 misure tecniche, connesse ai requisiti di sicurezza imposti ai Mobile Network Operators. Esse sono:
- garantire l’applicazione dei requisiti di sicurezza di base;
- garantire e valutare l’implementazione delle misure di sicurezza negli standard 5G;
- assicurare controlli di accesso rigorosi;
- aumentare la sicurezza delle funzioni di rete digitalizzate;
- garantire la sicurezza della gestione, del funzionamento e del monitoraggio delle reti 5G;
- rafforzare la sicurezza fisica;
- rafforzare l’integrità del software, l’aggiornamento e la gestione delle patch;
- aumentare gli standard di sicurezza nei processi di rifornimento;
- rafforzare la resilienza.
Il livello di implementazione di queste misure è medio. Nonostante ciò, in molti Stati membri il processo di revisione e di rafforzamento dei requisiti di sicurezza per gli operatori è a buon punto. Tuttavia, il progresso è più lento in merito alle misure tecniche che prevedono dei requisiti di sicurezza per i suppliers.
Conclusioni
Sebbene le modalità di impiego e di adozione delle tecnologie 5G celino ancora alcune incertezze, la maggior parte degli Stati membri ha dimostrato di aver adottato adeguate misure di sicurezza per prevenire molti dei potenziali rischi. Tuttavia, alcuni stati non hanno condiviso determinate informazioni, sia perché si trovano in una diversa fase di implementazione delle misure, sia per motivi di sicurezza nazionale.
La Commissione sottolinea nel report la fondamentale importanza della condivisione delle informazioni tra Stati membri riguardanti le sfide, le best practice e le possibili soluzioni per implementare il toolbox. Infine, la Commissione ritiene utile continuare a lavorare in modo integrato a livello europeo, con la coordinazione dell’ENISA e della stessa Commissione.
Nonostante il 5G sia una tecnologia in rapida evoluzione, dati gli sviluppi attuali, l’Unione Europea non si farà trovare impreparata e, anzi, potrà svolgere un ruolo di primo piano nell’adozione di tecnologie 5G.