„Az uniós tagállamok a mai napon az Európai Bizottság és az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) támogatásával jelentést tettek közzé az Open RAN kiberbiztonságáról. Ez az új típusú 5G hálózati architektúra az elkövetkező években nyílt interfészeken alapuló alternatívát kínál az 5G hálózatok rádiós hozzáférési részének kiépítésére. Ez újabb fontos lépés az 5G hálózatok kiberbiztonságával kapcsolatos uniós szintű összehangolt munka terén, és jól mutatja az érintettek az iránti határozott elkötelezettségét, hogy a továbbiakban is közös megoldásokat találjanak az 5G hálózatok biztonsági kihívásaira, és lépést tartsanak az 5G technológia és architektúra fejlődésével.
Az 5G hálózatok és a mobilhírközlési hálózatok jövőbeli generációi által lehetővé tett fejlett és innovatív alkalmazásokat használó uniós állampolgárok és vállalatok számára biztosítani kell a legmagasabb biztonsági szabvány előnyeit. Az 5G hálózatok biztonságának az 5G-s kiberbiztonságra vonatkozó uniós eszköztár révén történő megerősítése érdekében uniós szinten már elvégzett összehangolt munkára támaszkodva a tagállamok elemezték az Open RAN biztonsági vonatkozásait.
Margrethe Vestager, a digitális korra felkészült Európáért felelős ügyvezető alelnök így nyilatkozott: „Közös prioritásunk és felelősségünk, hogy biztosítsuk az 5G hálózatok gyors kiépítését Európában, ugyanakkor gondoskodjunk azok biztonságáról. Az Open RAN-architektúrák új lehetőségeket teremtenek a piacon, de ez a jelentés rámutat arra, hogy fontos biztonsági kihívásokat is felvetnek, különösen rövid távon. Fontos, hogy a jövőben minden érintett kellő időt és figyelmet szenteljen az ilyen kihívások enyhítésének annak érdekében, hogy az Open RAN-ban rejlő lehetőségek kibontakozhassanak.”
Thierry Breton, a belső piacért felelős biztos hozzátette: „Az 5G hálózat kiépítése Unió-szerte folyamatban van, a tagállamok gazdaságai pedig egyre nagyobb mértékben támaszkodnak a digitális infrastruktúrákra, ezért minden eddiginél fontosabb a magas szintű biztonság garantálása. Az 5G-s kiberbiztonsági eszköztár létrehozásával pontosan ez volt a célunk, és az Open RAN kapcsán ez a célja a tagállamokkal együtt készített új jelentésnek is. Nem a hatóságok feladata, hogy eldöntsék, mely technológiák kerüljenek alkalmazásra. Az azonban a mi felelősségünk, hogy felmérjük az egyes technológiákhoz kapcsolódó kockázatokat. Ez a jelentés rámutat arra, hogy az Open RAN számos lehetőséget kínál, de ezek jelentős biztonsági kihívásokkal párosulnak, amelyekkel eddig még nem foglalkoztunk, és amelyeket nem szabad alábecsülnünk. Az Open RAN európai 5G hálózatokban való esetleges kiépítése semmilyen körülmények között nem vezethet újabb sebezhetőségekhez.”
Guillaume Poupard, a francia Nemzeti Kiberbiztonsági Ügynökség (ANSSI) főigazgatója így nyilatkozott: „Az 5G-s kiberbiztonságra vonatkozó uniós eszköztár után ez a jelentés újabb mérföldkövet jelent a kiberbiztonsági kommunikációs csoport által az 5G hálózatok biztonsági kockázatainak koordinálására és csökkentésére tett erőfeszítések terén. Az Open RAN mélyreható biztonsági elemzése hozzájárul ahhoz, hogy közös megközelítésünk lépést tartson az új tendenciákkal és a kapcsolódó biztonsági kihívásokkal. Az e kihívások közös kezelésére irányuló munkánkat a jövőben is folytatjuk.”
A jelentésből kiderül, hogy az Open RAN – bizonyos feltételek teljesülése esetén – potenciális biztonsági lehetőségeket teremthet. A különböző beszállítóktól származó RAN-összetevők közötti nagyobb fokú interoperabilitás révén az Open RAN az azonos földrajzi területen működő hálózatokon belüli beszállítók körében nagyobb diverzifikációt tehet lehetővé. Ez hozzájárulhat az uniós 5G-s eszköztár azon ajánlásának megvalósításához, amely szerint az egyetlen beszállítótól való jelentős függés elkerülése, illetve korlátozása érdekében minden szolgáltató megfelelő, több értékesítőre kiterjedő stratégiával rendelkezzen. Az Open RAN a nyílt interfészek és szabványok használatának köszönhetően hozzájárulhat a hálózat láthatóságának növeléséhez, a nagyobb fokú automatizálás révén csökkentheti az emberi hibákat, valamint a virtualizáció és a felhőalapú megoldások alkalmazása révén növelheti a rugalmasságot.
Az Open RAN koncepció azonban még mindig nem eléggé kiforrott, és a kiberbiztonság továbbra is komoly kihívást jelent. Az Open RAN a hálózatok összetettségének fokozásával számos biztonsági kockázatot súlyosbítana, különösen rövid távon. Ilyen kockázat például az, hogy nagyobb támadási felület és több belépési pont állna a rossz szándékú szereplők rendelkezésére, fokozódna a hálózatok helytelen konfigurációjának, valamint az erőforrás-megosztás miatt más hálózati funkciókra gyakorolt lehetséges hatások kialakulásának kockázata. A jelentés azt is megjegyzi, hogy a műszaki előírások, mint például az O-RAN Alliance által kidolgozottak, eleve nem elég kiforrottak és biztonságosak. Az Open RAN új vagy fokozott kritikus függőségekhez vezethet, például az alkatrészek és a felhő területén.
E kockázatok mérséklése és az Open RAN-ban rejlő potenciális lehetőségek kiaknázása érdekében a jelentés számos, az 5G-s uniós eszköztáron alapuló intézkedést javasol, ezen belül is a következőket:
- Szabályozási hatáskörök alkalmazása annak érdekében, hogy ellenőrizni lehessen a mobilszolgáltatóknak az Open RAN kiépítésére irányuló nagy léptékű terveit, és szükség esetén korlátozni, tiltani és/vagy konkrét követelményekhez vagy feltételekhez lehessen kötni az Open RAN hálózati berendezések szállítását, nagy léptékű kiépítését és üzemeltetését;
- Az olyan kulcsfontosságú műszaki ellenőrzések megerősítése, mint a hitelesítés és az engedélyezés, valamint az egyes összetevők nyomon követése révén a nyomonkövetési terv hozzáigazítása a moduláris környezethez;
- Az Open RAN-szolgáltatók, az Open RAN-hoz kapcsolódó külső szolgáltatók, a felhőszolgáltatók/infrastruktúra-szolgáltatók és a rendszerintegrátorok kockázati profiljának értékelése, valamint a bérelt szolgáltatást nyújtó entitásokra vonatkozó ellenőrzések és korlátozások e szolgáltatókra való kiterjesztése;
- A műszaki előírások kidolgozása során tapasztalt hiányosságok kezelése: a folyamatnak meg kell felelnie a Kereskedelmi Világszervezet (WTO) a kereskedelem technikai akadályairól szóló egyezményében (TBT-megállapodás) foglalt, a nemzetközi szabványok kidolgozására vonatkozó alapelveknek[1], és foglalkozni kell a biztonsági hiányosságokkal;
- Az Open RAN elemeinek a lehető legkorábbi szakaszban való beépítése a jelenleg fejlesztés alatt álló jövőbeli 5G-s kiberbiztonsági tanúsítási rendszerbe.
Ami az uniós kapacitások e piacon való megőrzését és megszilárdítását illeti, fenn kell tartani a verseny előmozdítását célzó technológiasemleges szabályozást. Ennek keretében az 5G és a 6G terén zajló kutatás és innováció uniós és nemzeti finanszírozását fel lehetne használni az uniós szereplők egyenlő versenyfeltételek melletti versenylehetőségeinek támogatására. A RAN-on túl az ellátás diverzifikációja érdekében a teljes kommunikációs értékláncon belül is foglalkozni kell a potenciális függőségekkel, illetve a sokszínűség hiányával.
Az új architektúra felé történő elmozdulás tekintetében a jelentés összességében óvatos megközelítést javasol. A meglévő, megbízható technológiákról való áttérést és az azokkal való együttélést úgy kell megvalósítani, hogy elegendő időt és erőforrást kell biztosítani a kockázatok előzetes értékelésére, a megfelelő kockázatcsökkentő intézkedések végrehajtására és annak egyértelmű meghatározására, hogy a meghibásodás vagy váratlan esemény esetén ki viseli a felelősséget.
Háttér-információk
A biztonságos 5G hálózatok időben történő kiépítése kiemelt fontosságú az Európai Unió számára. E cél elérése érdekében az uniós tagállamok az Európai Bizottság és az ENISA támogatásával összehangolt megközelítést dolgoztak ki az 5G hálózatok kiberbiztonságára vonatkozóan. Ezen összehangolt megközelítés segítségével az uniós tagállamok közösen értékelték az 5G hálózatokkal kapcsolatos főbb kockázatokat („összehangolt uniós kockázatértékelés”), és a 2020 januárjában elfogadott 5G-s uniós eszköztár formájában átfogó és kockázatalapú megközelítést határoztak meg. Az 5G-s uniós eszköztár közös kockázatcsökkentő intézkedéseket javasol.
Az 5G-s uniós eszköztár stratégiai és technikai intézkedéseket, valamint az azok hatékonyságának fokozását célzó fellépéseket tartalmaz. Az 5G-s uniós eszköztár fő intézkedései közé tartozik a biztonsági követelmények megerősítése, a beszállítók kockázati profiljának értékelése, a magas kockázatúnak tekintett beszállítókra vonatkozó korlátozások alkalmazása, ezen belül az ilyen beszállítók kizárása, ha az a kritikusnak és érzékenynek tekintett kulcsfontosságú eszközök (például a gerinchálózati funkciók) szempontjából szükségesnek bizonyul, valamint az értékesítők diverzifikációját és a függőségek elkerülését célzó stratégiák bevezetése.
Az 5G-s kiberbiztonsággal kapcsolatos uniós koordinációs folyamat folytatása és elmélyítése érdekében a 2020. decemberi uniós kiberbiztonsági stratégia három fő célkitűzést határozott meg: (1) a kockázatcsökkentési megközelítések további uniós közelítésének biztosítása, (2) a folyamatos ismeretcsere és kapacitásépítés támogatása, valamint (3) a reziliens ellátási láncok és egyéb uniós stratégiai biztonsági célkitűzések előmozdítása.
E fő célkitűzések részeként a Kiberbiztonsági Együttműködési Csoport továbbra is nyomon követi és értékeli az 5G ellátási lánc új tendenciáihoz és fejleményeihez kapcsolódó kérdéseket. Mivel az Open RAN az 5G és a 6G architektúrák fejlődése terén tapasztalható egyik piaci tendencia, a tagállamok úgy határoztak, hogy az 5G-re vonatkozó összehangolt kockázatelemzés kiegészítése érdekében mélyrehatóan elemzik az Open RAN biztonsági vonatkozásait.
További információk
Az 5G-s kiberbiztonságra vonatkozó uniós eszköztár
Kiberbiztonsági Együttműködési Csoport
[1] Az európai szabványosításról szóló, 2012. október 25-i 1025/2012/EU európai parlamenti és tanácsi rendelet (2) preambulumbekezdése.”
Forrás:
Az 5G hálózatok kiberbiztonsága: az EU jelentést tesz közzé az Open RAN biztonságáról; Európai Bizottság; 2022. május 11.
Lásd még: Update: Open RAN explained; Nokia; 2022. március 30.