Bezpieczeństwo jest jednym z najważniejszych aspektów sieci 5G. Trzeba je jednak czymś potwierdzić. Docelowo powinny to być spójne i uniwersalne kryteria przyjęte na całym świecie, a przynajmniej w Unii Europejskiej. Stosowany do tej pory Common Criteria, choć bardziej dopracowany, jest bardzo czasochłonny. Jego miejsce może zająć NESAS, który ma duże szanse aby stać się głównym standardem testowania w ramach europejskich przepisów Cybersecurity Act.
Jasne zasady i uniwersalność testów
Bezpieczeństwo sieci 5G w dużym stopniu będzie zależało od jej spójności. Bardzo dobrym przykładem będzie tutaj Unia Europejska. Jeśli poszczególne kraje będą korzystać z tych samych rozwiązań sieciowych, ale sprzętu różnych dostawców, powinni oni spełniać te same kryteria bezpieczeństwa. W ten sposób powstaje ciężki do złamania monolit. Jeśli któryś kraj się z tego wyłamie, bo wyznacznikiem cyberbezpieczeństwa będzie dla niego kraj pochodzenia sprzętu i zachcianki Donalda Trumpa, a nie międzynarodowe procedury testowe, wtedy będzie to potencjalna dziura. Przez którą będzie można się włamać do sieci.
Dlatego też ważne jest stworzenie spójnych kryteriów testowania sprzętu. To jest też jedno z założeń europejskich przepisów w ramach Cybersecurity Act. Tak aby uniknąć sytuacji, w której każdy kraj testuje sprzęt na własną rękę i wedle własnych pomysłów. A wystarczy, że test przeprowadzi certyfikowane laboratorium np. w Hiszpanii i jego wynik jest honorowany w całej Unii. Bo gdyby test zrobić we Francji, Włoszech czy w Polsce, to jego wynik wyszedłby identyczny ze względu na stosowanie tych samych kryteriów. Jest to wygodne i oszczędne czasowo rozwiązanie. W przeciwnym wypadku zanim każdy przetestowałby sprzęt potrzebny do budowy sieci 5G, to sieć 6G już pukałaby do drzwi.
Obecne standardy testów wymagają przyśpieszenia
Aktualnie najczęściej stosowanymi testami bezpieczeństwa urządzeń sieci 5G jest Common Criteria. Znana też jako norma ISO 15408, która ma zastosowanie oczywiście nie tylko do sieci piątej generacji, ale do ogółu bezpieczeństwa systemów teleinformatycznych.
W uproszczeniu test wygląda następująco. Mamy zdefiniowany katalog zagrożeń i zabezpieczeń, które im przeciwdziałają. Bierzemy sprzęt i sprawdzamy czy jest on na te zagrożenia podatny i czy zabezpieczenia faktycznie działają. Metoda jest jednak nieidealna z dwóch powodów.
Common Criteria sprawdza tylko zagrożenia zdefiniowane przez producenta. Czyli jeśli producent deklaruje, że jego sprzęt jest w stanie obronić się przed atakami X, Y i Z, to tylko pod takim kątem jest on testowany. Jest to nieidealne rozwiązanie również pod tym względem, że sprzęt firmy A może mieć w domyśle więcej zabezpieczeń niż sprzęt firmy B i nie zostaną one przetestowany w identyczny sposób. Taka sama będzie za to metodologia testów.
Drugą kwestią jest czas testów. W przypadku Common Criteria, bardziej zaawansowane rozwiązania mogą być testowane nawet pół roku. To szmat czasu!
NESAS to nowy i szybszy standard testów bezpieczeństwa
Common Criteria to na dzień dzisiejszy bardziej rozwinięty i dopracowany sposób testowania bezpieczeństwa. Obecnie na świecie jest ok 80 laboratoriów zgodnych ze standardem. W tym jedno w polskim Instytucie Łączności. W przypadku NESAS jest ich obecnie tylko kilka, ale to właśnie ten standard ma większe szanse na powodzenie w przypadku sieci 5G. Został od opracowany przez międzynarodowe organizacje telekomunikacyjne – GSMA oraz 3GPP.
GSMA pisze o NESAS w następujący sposób:
NESAS zapewnia podstawę bezpieczeństwa, aby udowodnić, że sprzęt sieciowy spełnia listę wymagań bezpieczeństwa i został opracowany zgodnie z procesami rozwoju dostawców i cyklu życia produktu, które zapewniają bezpieczeństwo. NESAS ma być używany wraz z innymi mechanizmami zapewniającymi bezpieczeństwo sieci, w szczególności z odpowiednim zestawem polityk bezpieczeństwa obejmujących cały cykl życia sieci. Schemat powinien być stosowany na całym świecie jako wspólny punkt odniesienia, poza którym poszczególni operatorzy lub krajowe agencje bezpieczeństwa IT mogą chcieć nałożyć dodatkowe wymagania dotyczące bezpieczeństwa.
Przede wszystkim czas testów jest znacznie krótszy, bo trwają one 3-6 miesięcy. To duży przeskok w porównaniu z 1,5 roku w Common Criteria.
Główną różnicą pomiędzy standardami jest to, że Common Criteria skupia się bardziej na metodologii i powtarzalności testów. Z kolei NESAS patrzy bardziej na możliwe formy ich prowadzenia. Tak aby sprzęt został przetestowany nie tylko pod kątem zabezpieczeń deklarowanych przez producenta, ale również z użyciem niestandardowych pomysłów. Chodzi o tzw. testy penetracyjne, która mają być kolejną nowością, która trafi do NESAS.
Europa stoi przed wyborem – który standard wybrać?
W ramach wspomnianego Cybersecurity Act, Komisja Europejska będzie musiała zdecydować się na jeden z dostępnych standardów. Standard nowszy, choć wymagający dopracowania, ma na to większe szanse. Jest nie tylko szybszy, ale też dużo łatwiej jest go zastosować do aktualnie używanych sieci LTE i 5G. Dodatkowo jego świeżość też jest dużą zaletą, bo to pozwala na odpowiednie ukierunkowanie go i ukształtowanie w zależności od przyszłych potrzeb. Wprowadzenie zmian do starszego Common Criteria byłoby trudniejszym zadaniem.
Za NESAS przemawia też fakt, że docenia go coraz więcej państw i stosuje jako wyznacznik bezpieczeństwa sprzętu.
Jeśli Komisja Europejska zdecyduje się na na wybranie NESAS jako europejskiego standardu bezpieczeństwa, zarządzania nad nim przejdzie w jej ręce. To akurat logiczne, w końcu nie może być tak, że nad standardem bezpieczeństwa czuwają organizacje zrzeszające firmy telekomunikacyjne. Następnie trzeba będzie stworzyć certyfikowane laboratoria, wprowadzić audyty i… testować.
Europejski standard bezpieczeństwa jest potrzebny
Nawiązując do pierwszych zdań tego tekstu, jednolity standard testowania bezpieczeństwa urządzeń sieci 5G jest potrzebny. Im szybciej zostanie wprowadzony i przyjęty, tym większe szanse będzie miała Europa na dotrzymanie kroku rozwoju technologicznego Chin. Powinien być to standard możliwie najbardziej elastyczny oraz potrzebujący do badań względnie mało czasu. Stąd przewaga standardu NESAS.
Cały czas niewiadomą pozostaje, czy Polska dostosuje się do europejskich standardów. Jako państwo członkowskie będziemy musieli respektować certyfikowane badania przeprowadzone w europejskich laboratoriach. Nie może być tak, że Europa zgodnie powie – To jest bezpieczne. Sprawdziliśmy to i tu jest certyfikat, a my powiemy – Nie nie nie, bo to jest chińskie, tego nie chcemy!
Chcesz być na bieżąco z WhatNext? Śledź nas w Google News
