Jakie znaczenie dla Unii Europejskiej i państw członkowskich będzie miało powszechne wdrożenie sieci, a także jak bardzo istotne jest jej cyberbezpieczeństwo – o tym we wczorajszej debacie rozmawiali eksperci. Poniżej prezentujemy fragmenty wypowiedzi.
Tematyka spotkania jest mi wyjątkowo bliska, gdyż w ramach Forum CYBERSEC kwestie bezpieczeństwa sieci 5G poruszamy od 2018 r. Myślę, że jako Instytut Kościuszki byliśmy pierwszym Think tankiem, który to zagadnienie objął namysłem geopolitycznym i geoekonomicznym – rozpoczęła debatę Izabela Albrycht, prezes Instytutu Kościuszki i przewodnicząca Komitetu Organizacyjnego Europejskiego.
Cyberbezpieczeństwo 5G – ewolucja idei bezpieczeństwa dla krytycznej infrastruktury sieci
5G to nie jest po prostu kolejne G. Otóż sieć piątej generacji będzie miała zastosowanie w krytycznych dla państwa i gospodarki sektorach, co wygeneruje skokowy wzrost innowacyjności, produktywności, automatyzacji, autonomizacji, połączoności – connectivity i obejmie takie sektory jak m.in. medyczny, logistyczny, energetyczny, rolniczy, i pozwoli na rozwój w ich ramach takich technologii jak AI, QC, przemysł 4.0, autonomiczny transport, smart city, wiele innych. Te sektory są i będą krytyczne dla bezpieczeństwa państwa i ciągłości gospodarczej. 5G będzie miało także zastosowanie militarne, co spowoduje, że będzie istotne z punktu widzenia bezpieczeństwa narodowego i nowych technologii wojskowych. Te dwie kwestie sprawiają, że 5G ma znaczenie geopolityczne, bo może zadecydować o bezpieczeństwie, ale i potędze danego kraju czy regionu w przypadku UE. Zaawansowane technologie, w tym także 5G, zaczynają odgrywać kluczową rolę w repertuarze narzędzi do projekcji siły teraz w formule soft power. Sieć 5G ma jednak także potencjał stania się w przyszłości narzędziem hard power z uwagi na swoje m.in. potencjalne militarne zastosowanie oraz możliwość wpływania przez adwersarzy na prawidłowe funkcjonowanie tejże sieci, która zasilać będzie krytyczne sektory. A zatem jednym z kryteriów siły we współczesnym świecie stał się arsenał technologiczny, którym poszczególne kraje dysponują i które są w stanie produkować i eksportować.
Znaczenie geoekonomiczne
5G to technologia obejmująca cały łańcuch produkcji i dostaw – od rozwoju technologii poprzez hardware, software, urządzenia końcowe, aplikacje – który może wygenerować istotną ekonomiczną wartość dodaną dla krajów, które ją rozwijają.
Z powodu geopolitycznego i geoekonomicznego znaczenia, w ramach strategicznych rozważań o 5G należy wziąć pod uwagę:
- potrzebę zapewnienia cyberbezpieczeństwa sieci 5G (warstwa hardware i software)
- potrzebę rozwoju / wsparcia rodzimych / europejskich firm, wpiętych w łańcuch dostaw i produkcji (cyfrowa autonomia)
Na ten moment jednak UE przede wszystkim wzięła pod uwagę i na regulacyjny warsztat kwestie cyberbezpieczeństwa.
Rodzaje cyberzagrożeń dla sieci 5G:
- kill switch tj. potencjalne zablokowanie funkcjonowania sieci 5G
- update software
- backdoory i tylne furtki i krytyczne podatności wynikające z niskiej jakości software i niskiego poziomu jego cyberbezpieczeństwa
- wykorzystanie do celów ofensywnych, cywilnych inteligentnych i autonomicznych urządzeń podłączonych do sieci 5G (weaponization) i użycie ich do ataku na ludzi lub urządzenia, który doprowadzić może do fizycznych konsekwencji
Historia: od rezolucji PE do Toolboxa
- 12.03.2019 r. PE przyjął rezolucję ws. zagrożeń dla bezpieczeństwa wynikających z rosnącej obecności technologicznej Chin w UE oraz możliwości podjęcia na szczeblu UE działań mających zmniejszyć te zagrożenia
- 21–22.03.2019 r.: europejskie rządy wyraziły poparcie dla wspólnego podejścia do bezpieczeństwa sieci 5G podczas szczytu Rady Europejskiej
- 26.03.2019 r. KE przedstawiła zestaw zaleceń dot. cyberbezpieczeństwa sieci 5G.
- 9.10.2019 r. na podstawie sprawozdań krajów członkowskich opublikowano raport sprawozdawczy. Wskazano, że wdrażanie 5G to wyzwania na 2 kluczowych poziomach – technologicznym oraz łańcucha dostaw.
- 3.12.2019 przyjęto konkluzje Rady UE w sprawie znaczenia 5G dla gospodarki europejskiej
- 29.01.2020 r przedstawienie zestawu narzędzi UE w zakresie cyberbezpieczeństwa 5G – Toolbox 5G, któremu towarzyszył komunikat KE do PE, Rady Secure 5G deployment in the EU – Implementing the EU Toolbox.
NATO zwraca uwagę na potrzebę odporności krytycznej infrastruktury
Podczas szczytu NATO w Warszawie w 2016 r. przywódcy państw członkowskich zobowiązali się do dalszego wzmacniania odporności NATO i uzgodnili podstawowe wymagania dotyczące odporności w siedmiu strategicznych sektorach:
- ciągłość działań rządu,
- energia,
- ruch ludności,
- zasoby żywności i wody,
- zdolność radzenia sobie z masowymi ofiarami,
- sieci telekomunikacyjne i cybernetyczne,
- systemy transportu.
Oznacza to, że zapewniona powinna być odporność wszelkiej wymienionej infrastruktury cywilnej – civil preparedness, co także należy wziąć pod uwagę w momencie wyboru modelu i dostawców technologii 5G do wszystkich elementów infrastruktury.
Jacek Falkiewicz, Ericsson Polska: Z punktu widzenia technologicznego, budowa bezpiecznej sieci 5G wymaga absolutnie holistycznego podejścia, a nie skupiania się na pojedynczych elementach technicznych. Sposób w jaki wszystkie technologie związane z 5G są budowane, zintegrowane, czy kontrolowane stanowi główne zagadnienie zarządzania zaufaniem. Szczególnie biorąc pod uwagę fakt, że sieć 5G należy traktować jako infrastrukturę krytyczną.
Filozofia cyberbezpieczeństwa sieci 5G opiera się na 4 podstawowych aspektach, które w firmie Ericsson nazywamy stosem zaufania („trust stack”). Uwzględniają one wszystkie elementy powstawania sieci, od momentu procesu standaryzacji, przez produkcję elementów oraz oprogramowania, budowę sieci i jej eksploatację. W procesie standaryzacji operatorzy i dostawcy sprzętu uzgadniają w jaki sposób sieci na całym świecie będą ze sobą współpracować czy też w jaki sposób będą chronić użytkowników przed złośliwym atakiem. Z kolei dostawcy sprzętu przekładają uzgodnione standardy na fizyczne elementy i oprogramowanie. Następnie mamy proces planowania i konfiguracji sieci – jej budowa również musi uwzględniać konieczność zapewnienia docelowego poziomu bezpieczeństwa. Wykorzystywane w procesie eksploatacji sieci procesy operacyjne także muszą być projektowane z taki założeniem. Skuteczność bezpieczeństwa sieci 5G jest zależna od wszystkich powyższych elementów. Ta filozofia „security by design” towarzyszy działaniom Ericsson od początku pracy nad 5G.
Ericsson jako pierwsza firma uruchomiła komercyjne sieci 5G na czterech kontynentach. Teraz jesteśmy także pierwsi w Polsce. Bardzo intensywnie pracowaliśmy nad tym projektem i bardzo cieszymy się z uruchomionych pierwszych stacji 5G w siedmiu miastach Polski, które już służą abonentom sieci Plus. Co ważne, współpracujemy ze wszystkimi operatorami sieci mobilnych w Polsce, a także z uczelniami, instytucjami naukowymi oraz start-upami, aby zapewnić szybką i bezpieczną łączność mobilną.
Michał Kanownik, Prezes Cyfrowa Polska: Sieć 5G z uwagi na wysoką wrażliwość na zagrożenia i jej przyszłe duże znaczenie dla całej unijnej gospodarki, powinna być odpowiednio zabezpieczona. Każdy podmiot, który będzie z niej korzystał musi mieć poczucie bezpieczeństwa swoich danych. Dlatego właśnie Toolbox 5G to fundament budowy systemu bezpieczeństwa sieci 5G w krajach Unii Europejskiej. Narzędzia i rozwiązania, które się w nim znalazły są rekomendowane przez Komisję Europejską do wprowadzenia w krajach członkowskich. Mogą one znacznie zmniejszyć ryzyka i zapewnić bezpieczeństwo sieci 5G.
Toolbox jasno zaznacza te zagrożenia, które mogą wystąpić przy budowie sieci piątej generacji – wskazuje na dostawców wysokiego ryzyka i potrzebę oszacowania takiego ryzyka przez każde z krajów członkowskich UE. Stąd wyraźne zalecenia wzmocnienia wymogów w zakresie bezpieczeństwa względem operatorów i dostawców. Każde z państw członkowskich powinno taką ocenę ryzyka dokonać i na jej bazie dokonywać kolejnych czynności regulacyjnych w zakresie odpowiedniego bezpieczeństwa sieci 5G.
Toolbox gwarantuje również, że każdy operator sieci 5G będzie posiadał odpowiednią strategię dywersyfikacji dostawców sprzętu do budowy sieci. Nie chodzi tu o tylko o wyeliminowanie uzależnienia od jednego dostawcy, ale także o zapewnienie równowagi dostawców w poszczególnych krajach. Sama Komisja Europejska podejmuje działania, które służą utrzymaniu zróżnicowanego łańcucha dostaw tak, aby uniknąć uzależnienia od jednego dostawcy w kontekście całej Unii Europejskiej. W tym kontekście cieszy to, że Komisja Europejska dostrzega konieczność budowy i inwestowania w niezależność technologiczną UE w zakresie budowy sieci piątej generacji, w tym wspierania europejskich dostawców. Unia zachęca do tego, aby sieć w większym stopniu powstawała w oparciu o siły i środki rodzimych podmiotów. Mam nadzieję, że większość krajów Unii podzieli taki pogląd jako również szansy dla krajowych rynków nowych technologii.
Toolbox też jest dowodem na to, że instytucje unijne i państwa członkowskie, które także przy tym dokumencie pracowały, rozumieją ideę bezpieczeństwa sieci piątej generacji, ponieważ działania w tym zakresie skoordynowane na poziomie unijnym będą z pewnością skuteczniejsze. O tym w jaki sposób państwa wdrożą te zalecenia dowiemy się za 2 – 3 miesiące. Proces ten intensywnie przebiega obecnie w każdym z krajów.