English
Securitatea lanţului de aprovizionare reprezintă esenţa activităţii oricărui responsabil cu securitatea, conform unui comunicat remis redaţiei. Riscul de securitate cibernetică la care este expusă o organizaţia depinde de ce şi cine are acces la aceasta, mai ales în contextul în care lanţul de furnizori are complexitatea unui fractal - furnizorii şi prestatorii de servicii au, la rândul lor, proprii furnizori şi prestatori de servicii. Din punct de vedere practic, lanţul de aprovizionare specific industriei telecomunicaţiilor este infinit de complex şi în continuă expansiune.
Conform studiului Extended Enterprise Risk Management Survey 2020 (Studiu privind gestionarea riscurilor pentru întreprinderea extinsă, 2020) realizat de Deloitte, doar 20% dintre respondenţi declară că pot monitoriza în mod eficient fie toţi subcontractanţii, fie doar pe cei mai importanţi. Ritmul progresului tehnic şi comercial conduce însă la o complexitate tot mai mare a lanţurilor de aprovizionare şi pune presiune pe companii pentru a investi din punct de vedere al securităţii.
Potrivit sursei citate, există trei modalităţi prin care un furnizor poate afecta securitatea reţelei unei companii:
- Prin persoanele sau sistemele care pot accesa reţeaua companiei;
- Prin vulnerabilităţi existente în produsele pe care le livrează;
- Prin faptul că nu livrează ceea ce este necesar şi când este necesar pentru funcţionarea reţelei.
Un furnizor - fie că este partea care ameninţă sau că este victima unei părţi rău intenţionate - nu poate interveni în reţeaua 5G foarte uşor.
Controlul persoanelor care au acces la reţea necesită trei lucruri:
- Persoanele cărora le este acordată permisiunea trebuie să fie verificate ex-ante, prin procese de verificare guvernamentală, dacă este necesar;
- Permisiunile acordate în calitate de operator de reţea trebuie să fie explicite, nu implicite şi legate de anumite persoane cu constrângeri legate de timp, obiect şi locaţie;
- Comportamentul operaţional individual trebuie să fie monitorizat în permanenţă în timpul accesului la reţea, sisteme şi instalaţii. Acest lucru se extinde la astfel de modele de servicii, în care se stabileşte o conexiune tehnică cu sistemele aflate sub controlul furnizorului, subliniază sursa citată.
În timp ce ultimele două instrumente sunt cele mai bune practici acceptate pe scară largă, mulţi operatori şi guverne nu reuşesc să ceară personalului care are acces la reţelele 5G de care sunt atât de interesaţi să aibă o autorizaţie de securitate la nivel naţional.
Există doar trei condiţii în care un factor de ameninţare poate afecta o reţea prin exploatarea unei vulnerabilităţi:
- Exista în produsul pe care achiziţionat iniţial sau a fost introdus prin intermediul unei actualizări;
- Reprezintă fie o funcţionalitate programată dinainte să se declanşeze pe baza unor condiţii specifice, cum ar fi ora sau data, fie poate fi activată din interiorul sau din afara reţelei;
- Imposibilitatea de a detecta sau reacţiona la timp pentru a atenua complet sau cel puţin pentru a limita consecinţele exploatării vulnerabilităţii.
Trebuie menţionat că niciun test de securitate nu garantează 100% că un produs nu conţine vulnerabilităţi. Cu toate acestea, poate limita numărul acestora sau poate fi utilizat ca factor de diferenţiere în luarea deciziilor de achiziţie. În principiu, pentru operatorii sau ţările care se preocupă de securitate, nicio versiune a unui element sau a unei actualizări de reţea critice nu ar trebui să ajungă într-o reţea activă fără o verificare de securitate şi niciun element de reţea nu ar trebui scutit de verificarea de securitate prin eşantionare, adică aplicabilă actualizărilor selectate. În 5G, astfel de elemente critice de reţea ar reprezenta un subset al nucleului 5G, cel puţin în conformitate cu specificaţiile ETSI/3GPP.
Este esenţial ca operatorii să aibă acces la bancuri de testare care pot fi utilizate drept "reţele gemene", adică reconstituiri în terminologia DevOps, pentru a verifica modul în care modificarea configuraţiei parametrilor de reţea sau a traficului în interiorul reţelei influenţează comportamentul elementelor de reţea. În plus, traficul de control către şi dinspre elementele de reţea din reţeaua activă este cel puţin monitorizat şi filtrat pentru a se asigura încadrarea în profilul de trafic aşteptat. Pentru aceasta, operatorii ar trebui să înfiinţeze şi să menţină capacităţi şi facilităţi pentru a rula, compara, igieniza şi testa cel puţin elementele binare, pentru a evalua noile produse şi actualizări pe aceste bancuri de testare pentru "reţele gemene" înainte de a le implementa în reţeaua reală, subliniază sursa citată.
Pentru operatorii mai mici sau pentru cei care sunt dispuşi să accepte mai multe riscuri, nivelul de bază al asigurării oferite de sistemele de certificare şi asigurare, cum ar fi EECC, GSMA NESAS, precum şi cele aflate în curs de dezvoltare de către ENISA, ar putea fi suficient. Orice certificare trebuie înţeleasă ca o demonstraţie a capacităţii furnizorului, mai degrabă decât ca o garanţie a securităţii produsului pe toată durata sa de viaţă. Certificarea confirmă calitatea şi capacităţile unei anumite versiuni a produsului şi ar putea fi considerată o garanţie puternică a securităţii, dacă operatorul ar utiliza exact aceeaşi versiune a produsului fără actualizări ulterioare; este puţin probabil ca acest lucru să se întâmple în cazul elementelor de reţea 5G, deoarece acestea sunt îmbunătăţite, cu funcţionalităţi din ce în ce mai semnificative, în timp şi adaptate la cerinţele operatorilor de reţea.
Nevoia de detectare şi de limitare a acţiunilor rău intenţionate este de o importanţă capitală - niciun furnizor nu ar trebui să facă imposibilă înţelegerea de către operatorul de reţea a specificaţiilor interfeţelor sau a profilului normal de trafic şi nici nu ar trebui să refuze cerinţele operatorilor de a accesa informaţii importante privind securitatea. Pentru reţelele 5G, acestea s-ar putea traduce prin următoarele cerinţe de securitate care ar trebui incluse în ofertele de licitaţie şi, eventual, susţinute de legislaţia naţională:
1. Toate elementele reţelei 5G trebuie să raporteze către un depozit central de jurnale prin intermediul unui canal securizat în timp aproape real, fără a utiliza relee;
2. Toate elementele de reţea 5G trebuie să permită instalarea de sonde de reţea şi agenţi de punct final de la terţi, de exemplu, EDR-uri;
3. Toate elementele de reţea trebuie să asigure o interfaţă API deschisă pentru preluarea inventarului detaliat al elementelor de reţea hardware şi software;
4. Toate elementele reţelei trebuie să raporteze evenimente AAA, evenimente de securitate, comportamente anormale, starea de funcţionare (sarcini, CPU/Memorie, listă de procese, utilizare);
5. Toate elementele de reţea trebuie să ofere o evidenţă detaliată a matricei traficului de reţea (protocoale, porturi etc);
6. Toate elementele reţelei trebuie să furnizeze un ghid de consolidare a celor mai bune practici şi un manual operaţional de implementare securizată;
7. Toate elementele de reţea trebuie să instaleze numai software sau firmware care poartă semnătura digitală a furnizorului şi care să fie instalate cu ajutorul unor conturi dedicate, acestea fiind singurele conturi autorizate să efectueze această operaţiune; procesul de instalare trebuie să necesite autentificare cu mai mulţi factori;
8. Toate artefactele binare de software, firmware trebuie să fie echivalente binare, şi anume, compilarea codului sursă al produsului trebuie să corespundă artefactelor binare livrate de furnizor;
9. Patch-urile de securitate sunt separate de patch-urile funcţionale şi au un domeniu de aplicare limitat;
10. Furnizorii trebuie să comunice fără întârzieri nejustificate orice vulnerabilităţi sau puncte slabe identificate în produsele lor, să ofere îndrumări cu privire la posibilele măsuri de combatere a acestora, dacă există, şi să dezvolte patch-uri de securitate pentru eliminarea acestor vulnerabilităţi într-un termen rezonabil.
Procesul furnizorului care are cel mai mare impact asupra poziţiei de securitate a reţelei, pe întreaga durată de viaţă, este dezvoltarea şi furnizarea de actualizări de securitate. Orice vulnerabilităţi identificate trebuie remediate, fără excepţie, se menţionează în comunicat.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
