Оценка рисков, связанных с 5G – официальный отчёт ЕС

В октябре государства-члены ЕС опубликовали «согласованный отчёт» о рисках, связанных с технологиями 5G, внедрение которых в ближайшее время для «миллиардов связанных объектов и систем … в энергетике, на транспорте, банковском деле, здравоохранении, промышленных системах контроля, содержащих конфиденциальную информацию» считается, следует из контекста, делом решённым.

Доклад основан на результатах национальных оценок рисков кибербезопасности, проведённых всеми государствами-членами ЕС в связи с проблематикой 5G. В нём определяются основные угрозы и субъекты угроз, определяются стратегические риски. (Отдельно отмечается, что еврокомиссар по вопросам безопасности британец сэр Джулиан Кинг (Julian King) предварительно просмотрел доклад во время визита в США 1 октября.)

Общий и главный смысл документа состоит в том, что обеспечение безопасности сети 5G представляет собой во многом новую, нетривиальную и чрезвычайно ответственную задачу, от решения которой зависит, среди прочего, государственная независимость Евросоюза.

В докладе указано, что «кибербезопасность сетей 5G имеет существенное значение для защиты наших (стран ЕС – ред.) экономик и обществ и обеспечения полного потенциала тех важных возможностей, которые они предоставят, …а также имеет решающее значение для обеспечения стратегической автономии Евросоюза».

Риски, связанные с 5G, множатся из-за того, что «различные игроки, как уже существующие, так и новые – интеграторы, провайдеры сервисов, поставщики программного обеспечения» получат свою долю в управлении ключевыми элементами сетей 5G. Ответственность за безопасность будет труднее сосредоточить в одних руках. Если поставщики оборудования 5G имеют доступ к сети (а они его имеют, т.к. участвуют в настройке оборудования), «они могут манипулировать определенными функциональными возможностями, например, законной функцией перехвата, или перехватывать (перенаправлять) трафик данных, а также обходить механизмы аудита таким образом, что это нелегко обнаружить оператору».

Управление сетями предшествующих поколений было в значительной мере централизовано также с точки зрения инфраструктуры, у сети был центр управления, что облегчало контроль и обеспечение безопасности. Управление сетями 5G, напротив, децентрализовано, оно «расползается» по устройствам, которые объединены в сеть, и «перемещается от центра к границам сети», отмечается в документе. Помимо прочего, децентрализация управления сетью осложняет обеспечение её надёжности, отказоустойчивости.

Кроме того, «необходим новый, комплексный подход и новые методы для …своевременного реагирования для правоохранительных и судебных органов, в частности, посредством законного перехвата» данных в сетях 5G.

Функции законного перехвата данных станут функцией программного обеспечения (а не доступа к оборудованию, как в настоящее время – ред.). Роль программных средств в сетях 5G вообще возрастёт многократно.

«Важное отличие угроз для сетей 5G от угроз для нынешних сетей заключается в характере и интенсивности потенциальных последствий угроз. В частности, более широкое использование экономических и социальных функций в сетях 5G может существенно ухудшить потенциальные негативные последствия сбоев. Таким образом, целостность и работоспособность этих сетей станут серьёзной проблемой в дополнение к существующим требованиям конфиденциальности и неприкосновенности [данных]», — отмечается в документе.

Появятся принципиально новые типы уязвимостей. Так, например, возможны утечки данных на стыках нескольких виртуальных сред [базирующихся на одной и той же физической сети]. Изоляция таких стыков является ключевой проблемой, определённой индустрией в настоящее время как «предмет интенсивной работы».

Переход на 5G потребует от операторов и провайдеров доступа серьёзной технической перестройки, несравнимой по сложности с тем, что происходило при смене предыдущих поколений беспроводных сетей. Внедрение 5G «потребует тщательной реорганизации существующих сетей».

Перевод доклада ЕС о рисках, связанных с внедрением сетей 5G, см. здесь.