Τα κράτη μέλη της ΕΕ, με την υποστήριξη της Ευρωπαϊκής Επιτροπής και του ENISA, του οργανισμού της ΕΕ για την κυβερνοασφάλεια, δημοσίευσαν σήμερα έκθεση σχετικά με την κυβερνοασφάλεια του Open RAN. Αυτός ο νέος τύπος αρχιτεκτονικής δικτύου 5G θα παράσχει κατά τα προσεχή έτη έναν εναλλακτικό τρόπο εγκατάστασης του τμήματος ραδιοπρόσβασης των δικτύων 5G που βασίζονται σε ανοικτές διεπαφές. Αυτό σηματοδοτεί ένα ακόμη σημαντικό βήμα στις συντονισμένες εργασίες σε επίπεδο ΕΕ για την κυβερνοασφάλεια των δικτύων 5G, καταδεικνύοντας ακλόνητη αποφασιστικότητα όσον αφορά τη συνεχιζόμενη από κοινού ανταπόκριση στις προκλήσεις ασφάλειας των δικτύων 5G και την παρακολούθηση των εξελίξεων στην τεχνολογία και την αρχιτεκτονική 5G.
Οι πολίτες και οι επιχειρήσεις της ΕΕ που χρησιμοποιούν προηγμένες και καινοτόμες εφαρμογές που καθίστανται εφικτές με το 5G και τις μελλοντικές γενιές δικτύων κινητής επικοινωνίας θα πρέπει να επωφελούνται από τα υψηλότερα πρότυπα ασφάλειας. Σε συνέχεια των συντονισμένων εργασιών που έχουν ήδη πραγματοποιηθεί σε επίπεδο ΕΕ για την ενίσχυση της ασφάλειας των δικτύων 5G με την εργαλειοθήκη της ΕΕ για την κυβερνοασφάλεια των δικτύων 5G, τα κράτη μέλη ανέλυσαν τις επιπτώσεις του ανοικτού δικτύου ραδιοπρόσβασης (Open RAN) στην ασφάλεια.
Η κ. Μαργκρέιτε Βέστεϊγιερ, εκτελεστική αντιπρόεδρος για μια Ευρώπη Έτοιμη για την Ψηφιακή Εποχή, δήλωσε: «Κοινή μας προτεραιότητα και ευθύνη είναι να εξασφαλίσουμε την έγκαιρη εγκατάσταση των δικτύων 5G στην Ευρώπη, διασφαλίζοντας παράλληλα την ασφάλειά τους. Οι αρχιτεκτονικές του Open RAN δημιουργούν νέες ευκαιρίες στην αγορά, η παρούσα έκθεση καταδεικνύει, ωστόσο, ότι θέτουν και σημαντικές προκλήσεις στον τομέα της ασφάλειας, ιδίως βραχυπρόθεσμα. Θα είναι σημαντικό για όλους τους συμμετέχοντες να αφιερώσουν επαρκή χρόνο και προσοχή στον μετριασμό αυτών των προκλήσεων, ώστε να μπορέσουν να υλοποιηθούν οι υποσχέσεις του Open RAN.»
Ο κ. Τιερί Μπρετόν, επίτροπος Εσωτερικής Αγοράς, πρόσθεσε τα εξής: «Τώρα που το δίκτυο 5G εξαπλώνεται σε ολόκληρη την ΕΕ και οι οικονομίες μας βασίζονται όλο και περισσότερο σε ψηφιακές υποδομές, είναι πιο σημαντικό από ποτέ να εξασφαλιστεί υψηλό επίπεδο ασφάλειας στα δίκτυα επικοινωνιών μας. Αυτό ακριβώς κάναμε με την εργαλειοθήκη για την κυβερνοασφάλεια των δικτύων 5G. Και αυτό ακριβώς κάνουμε τώρα, μαζί με τα κράτη μέλη, για το Open RAN με τη νέα αυτή έκθεση. Δεν εναπόκειται στις δημόσιες αρχές να επιλέγουν τεχνολογίες. Ωστόσο, είναι ευθύνη μας να αξιολογήσουμε τους κινδύνους που συνδέονται με τις εκάστοτε τεχνολογίες. Η παρούσα έκθεση καταδεικνύει την ύπαρξη ορισμένων ευκαιριών που συνοδεύουν το Open RAN, αλλά και σημαντικών προκλήσεων στον τομέα της ασφάλειας που παραμένουν ανεπίλυτες και δεν μπορούν να υποτιμηθούν. Σε καμία περίπτωση η πιθανή εγκατάσταση του Open RAN στα ευρωπαϊκά δίκτυα 5G δεν θα πρέπει να επισύρει νέες ευπάθειες.»
Ο Guillaume Poupard, γενικός διευθυντής του γαλλικού εθνικού οργανισμού για την ασφάλεια στον κυβερνοχώρο (ANSSI), δήλωσε: «Μετά την εργαλειοθήκη της ΕΕ για την κυβερνοασφάλεια των δικτύων 5G, η παρούσα έκθεση αποτελεί ένα ακόμη ορόσημο στην προσπάθεια της ομάδας συνεργασίας NIS για τον συντονισμό και τον μετριασμό των κινδύνων ασφάλειας των δικτύων μας 5G. Αυτή η εις βάθος ανάλυση ασφάλειας του Open RAN συμβάλλει στο να διασφαλιστεί ότι η κοινή μας προσέγγιση συμβαδίζει με τις νέες τάσεις και τις σχετικές προκλήσεις στον τομέα της ασφάλειας. Θα συνεχίσουμε το έργο μας για την από κοινού αντιμετώπιση αυτών των προκλήσεων.»
Η έκθεση κατέδειξε ότι το Open RAN θα μπορούσε να προσφέρει δυνητικές ευκαιρίες ασφάλειας, υπό την προϋπόθεση ότι πληρούνται ορισμένες προϋποθέσεις. Μέσω της μεγαλύτερης διαλειτουργικότητας μεταξύ των συστατικών στοιχείων του RAN από διαφορετικούς προμηθευτές, το Open RAN θα μπορούσε να επιτρέψει μεγαλύτερη διαφοροποίηση των προμηθευτών εντός των δικτύων της ίδιας γεωγραφικής περιοχής. Τούτο θα μπορούσε να συμβάλει στην πραγμάτωση της σύστασης της εργαλειοθήκης της ΕΕ για το 5G, σύμφωνα με την οποία κάθε φορέας εκμετάλλευσης θα πρέπει να διαθέτει κατάλληλη στρατηγική πολλαπλών πωλητών για την αποφυγή ή τον περιορισμό τυχόν σημαντικής εξάρτησης από έναν μόνο προμηθευτή. Το Open RAN θα μπορούσε επίσης να συμβάλει στην αύξηση της προβολής του δικτύου χάρη στη χρήση ανοικτών διεπαφών και προτύπων, στη μείωση των ανθρώπινων σφαλμάτων μέσω μεγαλύτερης αυτοματοποίησης και στην αύξηση της ευελιξίας μέσω της χρήσης εικονικοποίησης, καθώς και λύσεων που βασίζονται στο υπολογιστικό νέφος.
Ωστόσο, η έννοια του Open RAN εξακολουθεί να στερείται ωριμότητας και η κυβερνοασφάλεια εξακολουθεί να αποτελεί σημαντική πρόκληση. Ειδικότερα βραχυπρόθεσμα, με την αύξηση της πολυπλοκότητας των δικτύων, το Open RAN θα επιδείνωνε ορισμένους κινδύνους για την ασφάλεια. Οι κίνδυνοι αυτοί είναι, μεταξύ άλλων, το ευρύτερο πεδίο επίθεσης και τα περισσότερα σημεία εισόδου για κακόβουλους παράγοντες, ο αυξημένος κίνδυνος εσφαλμένης ρύθμισης των παραμέτρων των δικτύων, καθώς και πιθανές επιπτώσεις σε άλλες λειτουργίες του δικτύου λόγω της από κοινού χρήσης πόρων. Στην έκθεση επισημαίνεται επίσης ότι οι τεχνικές προδιαγραφές, όπως αυτές που αναπτύχθηκαν από την O-RAN Alliance, δεν είναι επαρκώς ώριμες και ασφαλείς εκ σχεδιασμού. Το Open RAN θα μπορούσε να οδηγήσει σε νέες ή αυξημένες κρίσιμες εξαρτήσεις, για παράδειγμα στον τομέα των συστατικών στοιχείων και του υπολογιστικού νέφους.
Για να μετριαστούν αυτοί οι κίνδυνοι και να αξιοποιηθούν οι δυνητικές ευκαιρίες του Open RAN, η έκθεση συνιστά μια σειρά δράσεων βασισμένων στην εργαλειοθήκη της ΕΕ για το 5G, και συγκεκριμένα:
- χρήση ρυθμιστικών εξουσιών που θα παρέχουν δυνατότητες ελέγχου των μεγάλης κλίμακας σχεδίων εγκατάστασης Open RAN από φορείς εκμετάλλευσης κινητών επικοινωνιών και, εάν χρειάζεται, περιορισμού, απαγόρευσης και/ή επιβολής ειδικών απαιτήσεων ή όρων για τον εφοδιασμό, τη μεγάλης κλίμακας εγκατάσταση και τη λειτουργία του εξοπλισμού του δικτύου Open RAN·
- ενίσχυση των βασικών τεχνικών ελέγχων, όπως η επαλήθευση ταυτότητας και η αδειοδότηση, και προσαρμογή του σχεδιασμού παρακολούθησης σε σπονδυλωτό περιβάλλον όπου παρακολουθείται κάθε συστατικό στοιχείο·
- αξιολόγηση του προφίλ κινδύνου των παρόχων Open RAN, των εξωτερικών παρόχων υπηρεσιών που σχετίζονται με το Open RAN, των παρόχων και φορέων ολοκλήρωσης συστημάτων υπηρεσιών/υποδομών υπολογιστικού νέφους, και επέκταση των ελέγχων και των περιορισμών που απευθύνονται σε παρόχους διαχειριζόμενων υπηρεσιών (MSΡ: Managed Service Providers) στους εν λόγω παρόχους·
- αντιμετώπιση των ελλείψεων στην κατάρτιση τεχνικών προδιαγραφών: η διαδικασία θα πρέπει να ικανοποιεί τις θεμελιώδεις αρχές για την ανάπτυξη διεθνών προτύπων του Παγκόσμιου Οργανισμού Εμπορίου (ΠΟΕ)/Τεχνικά εμπόδια στο εμπόριο (ΤΒΤ)[1], θα πρέπει δε να αντιμετωπιστούν οι ελλείψεις στον τομέα της ασφάλειας·
- συμπερίληψη, σε όσο το δυνατόν πιο πρώιμο στάδιο, των συστατικών στοιχείων του Open RAN στο μελλοντικό σύστημα πιστοποίησης της κυβερνοασφάλειας των δικτύων 5G, το οποίο βρίσκεται επί του παρόντος στο στάδιο της ανάπτυξης.
Όσον αφορά τη διατήρηση και την εδραίωση των ικανοτήτων της ΕΕ στην εν λόγω αγορά, θα πρέπει να διατηρηθεί ένας τεχνολογικά ουδέτερος κανονισμός για την προώθηση του ανταγωνισμού. Στο πλαίσιο αυτό, η ενωσιακή και εθνική χρηματοδότηση για την έρευνα και την καινοτομία στον τομέα του 5G και του 6G θα μπορούσε να χρησιμοποιηθεί για τη στήριξη ευκαιριών ανταγωνισμού επί ίσοις όροις για τους φορείς της ΕΕ. Πέραν του RAN, είναι επίσης σημαντικό να αντιμετωπιστούν πιθανές εξαρτήσεις ή έλλειψη ποικιλομορφίας σε ολόκληρη την αλυσίδα αξίας της επικοινωνίας για τη διαφοροποίηση του εφοδιασμού.
Συνολικά, η έκθεση συνιστά προσεκτική προσέγγιση για τη μετάβαση προς την εν λόγω νέα αρχιτεκτονική. Κάθε μετάβαση από υφιστάμενες, αξιόπιστες τεχνολογίες, η οποία συνοδεύεται από ταυτόχρονη συνύπαρξη με αυτές θα πρέπει να πραγματοποιείται παρέχοντας επαρκή χρόνο και πόρους για την εκ των προτέρων εκτίμηση των κινδύνων, την εφαρμογή κατάλληλων μέτρων μετριασμού και τον σαφή καθορισμό των ευθυνών σε περίπτωση βλάβης ή συμβάντος.
Η έγκαιρη εγκατάσταση ασφαλών δικτύων 5G αποτελεί υψηλή προτεραιότητα για την Ευρωπαϊκή Ένωση. Για να συμβάλουν στην επίτευξη αυτού του στόχου, τα κράτη μέλη της ΕΕ, με την υποστήριξη της Ευρωπαϊκής Επιτροπής και του ENISA, έχουν αναπτύξει μια συντονισμένη προσέγγιση όσον αφορά την κυβερνοασφάλεια των δικτύων 5G. Μέσω αυτής της συντονισμένης προσέγγισης, τα κράτη μέλη της ΕΕ αξιολόγησαν από κοινού τους κύριους κινδύνους που συνδέονται με τα δίκτυα 5G («συντονισμένη εκτίμηση κινδύνου της ΕΕ») και καθόρισαν μια ολοκληρωμένη, βάσει κινδύνου προσέγγιση υπό τη μορφή της εργαλειοθήκης της ΕΕ για το 5G που εγκρίθηκε τον Ιανουάριο του 2020. Η εργαλειοθήκη της ΕΕ για το 5G συνιστά ένα σύνολο κοινών μέτρων μετριασμού των κινδύνων.
Η εργαλειοθήκη της ΕΕ για το 5G περιλαμβάνει στρατηγικά και τεχνικά μέτρα, και αντίστοιχες δράσεις για την ενίσχυση της αποτελεσματικότητάς τους. Στα κύρια μέτρα της εργαλειοθήκης για το 5G συγκαταλέγονται η ενίσχυση των απαιτήσεων στον τομέα της ασφάλειας, η αξιολόγηση των προφίλ κινδύνου των προμηθευτών, η εφαρμογή σχετικών περιορισμών για τους προμηθευτές που θεωρούνται υψηλού κινδύνου, συμπεριλαμβανομένων των αναγκαίων αποκλεισμών για βασικά πάγια στοιχεία που θεωρούνται ζωτικής σημασίας και ευαίσθητα (όπως οι λειτουργίες του κεντρικού δικτύου), καθώς και η ανάπτυξη στρατηγικών για την προώθηση της διαφοροποίησης των προμηθευτών και την αποφυγή εξαρτήσεων.
Προκειμένου να συνεχιστεί και να εμβαθυνθεί η διαδικασία συντονισμού της ΕΕ για την κυβερνοασφάλεια των δικτύων 5G, η στρατηγική της ΕΕ για την κυβερνοασφάλεια του Δεκεμβρίου 2020 προσδιόρισε τρεις βασικούς στόχους: (1) εξασφάλιση περαιτέρω σύγκλισης των προσεγγίσεων μετριασμού των κινδύνων στην ΕΕ, (2) στήριξη της συνεχούς ανταλλαγής γνώσεων και της ανάπτυξης ικανοτήτων, και (3) προώθηση της ανθεκτικότητας της αλυσίδας εφοδιασμού και άλλων στρατηγικών στόχων της ΕΕ στον τομέα της ασφάλειας.
Στο πλαίσιο αυτών των βασικών στόχων, η ομάδα συνεργασίας NIS θα συνεχίσει να παρακολουθεί και να αξιολογεί ζητήματα που σχετίζονται με τις νέες τάσεις και εξελίξεις στην αλυσίδα εφοδιασμού του 5G. Δεδομένου ότι το Open RAN αποτελεί τάση της αγοράς στην εξέλιξη των αρχιτεκτονικών 5G και 6G, τα κράτη μέλη αποφάσισαν να διενεργήσουν διεξοδική ανάλυση των επιπτώσεων του Open RAN στην ασφάλεια, προκειμένου να συμπληρωθεί η συντονισμένη ανάλυση κινδύνου για το 5G.