NIS opublikował ocenę ryzyka bezpieczeństwa cybernetycznego sieci 5G

Zagrożenia stwarzane przez wrogie państwa lub podmioty wspierane przez państwo są postrzegane jako mające największe znaczenie dla bezpieczeństwa sieci 5G – stwierdzono w raporcie „EU coordinated risk assessment of the cybersecurity of 5G networks” opublikowanym przez NIS Cooperation Group, która ma zapewnić strategiczną współpracę i wymianę informacji między państwami członkowskimi Unii Europejskiej w zakresie bezpieczeństwa cybernetycznego.

W raporcie stwierdzono, że dwie grupy podmiotów „mają szczególne znaczenie dla bezpieczeństwa cybernetycznego sieci 5G”. Są to operatorzy telekomunikacyjni oraz producenci sprzętu telekomunikacyjnego, którzy są odpowiedzialni za dostarczanie oprogramowania i sprzętu komputerowego niezbędnego do obsługi sieci.

Jak zauważono, operatorzy sieci komórkowych świadczący usługi w UE podlegają prawu Unii i prawu krajowemu państw członkowskich. W przypadku dostawców tylko dwaj główni – Ericsson i Nokia – mają siedzibę w EU, a pozostali – w raporcie w gronie liczących się dostawców wymieniono Huawei, ZTE, Samsung i Cisco – poza. „Ich ład korporacyjny wykazuje istotne różnice, na przykład w zakresie poziomu przejrzystości i rodzaju struktury własności korporacyjnej” – stwierdzono w raporcie.

Według NIS Cooperation Group, profile ryzyka poszczególnych dostawców można ocenić na podstawie kilku czynników, w szczególności prawdopodobieństwa, że dostawca będzie narażony na ingerencję ze strony państwa nienależącego do UE. – Jest to jeden z kluczowych aspektów oceny nietechnicznych słabych punktów związanych z sieciami 5G – stwierdzono w raporcie.

Narażenie na ingerencję może być ułatwione przez:

- silne powiązanie między dostawcą a rządem danego kraju trzeciego;

- ustawodawstwo państwa trzeciego, zwłaszcza w przypadku braku kontroli i równowagi legislacyjnej lub demokratycznej, lub w przypadku braku umów o bezpieczeństwie lub ochronie danych pomiędzy UE a danym państwem trzecim;

- charakterystykę własności korporacyjnej dostawcy;

- zdolność państwa trzeciego do wywierania jakiejkolwiek formy nacisku, w tym w odniesieniu do miejsca wytwarzania urządzeń.

"W szczególności wrogie państwa trzecie mogą wywierać presję na dostawców 5G w celu ułatwienia ataków cybernetycznych służących ich interesom narodowym" – stwierdzono w raporcie.

Autorzy zwracają też uwagę, że niekorzystny wpływ na bezpieczeństwo sieci 5G może mieć – na poziomie sieci, kraju i całej Unii – duży stopień uzależnienia od rozwiązań jednego dostawcy. – W rezultacie operatorzy z siedzibą w UE, którzy nadmiernie uzależniają się od jednego dostawcy sprzętu, są narażeni na szereg zagrożeń spowodowanych przez tego dostawcę – stwierdzono w raporcie. Wśród czynników, które mogą mieć negatywny wpływ na dostawcę wymienione są m.in. niepowodzenia biznesowe, jak i nałożenie sankcji.

Raport NIS Cooperation Group jest elementem działań podjętych przez Unię w związku z bezpieczeństwem sieci 5G. Działania te są po części odpowiedzią na naciski USA na wyeliminowanie chińskiego Huawei z grona dostawców sprzętu i rozwiązań sieci nowej generacji. Nim powstał raport rządy Unijne miały na szczeblu krajowym zidentyfikować zagrożenia. W kolejnym kroku – do 31 grudnia 2019 r. – NIS Cooperation Group ma przedstawić zestaw narzędzi, które będą miały na celu przeciwdziałanie zidentyfikowanym zagrożeniom na szczeblu krajowym i unijnym.