EU: nieuwe bedreigingen voor 5G-netwerken snel aanpakken

De uitrol van 5G-netwerken zorgt voor nieuwe bedreigingen en kwetsbaarheden waarvoor tijdig maatregelen genomen moeten worden. De toenemende afhankelijkheid van mobiele operators van een beperkt aantal netwerkleveranciers kan de risico’s van cyberaanvallen, al dan niet gesteund door staten, doen toenemen. Dat zijn de belangrijkste conclusies van een rapport van de EU-lidstaten, de Europese Commissie en het Europees Agentschap voor cyberveiligheid (ENISA).

De gecoördineerde EU-risicobeoordeling over cyberveiligheid in 5G-netwerken is volgens de EU een belangrijke stap in de uitvoering van een aanbeveling van de Commissie die in maart 2019 is aangenomen. De EC stelde toen maatregelen voor om een hoog niveau van cyberbeveiliging van 5G-netwerken in de EU te waarborgen. Daarop hebben EU-lidstaten een eigen risicobeoordeling gemaakt die mede als basis voor het rapport is gebruikt.
Dit gebeurde mede naar aanleiding van alle commotie die is ontstaan over de veiligheid van netwerken van Chinese leveranciers zoals Huawei en ZTE, met name aangewakkerd door de VS. Overigens worden er geen namen van netwerkleveranciers of landen genoemd, maar in het recente verleden is met name op China, Rusland en Noord-Korea gewezen als statelijke actoren die kwaadwillende hackerscollectieven ondersteunen of zelfs aansturen.

In Nederland worden vooralsnog geen maatregelen getroffen om met name Huawei te weren, ondanks zorgen hierover bij de Tweede Kamer. Wel heeft KPN besloten om de netwerkleverancier bij de aanleg van een 5G-netwerk alleen randapparatuur te laten leveren, niet de kern van het netwerk. Dit geldt ook voor landen als het Verenigd Koninkrijk, waar de overheid dit heeft besloten. Eerder dit jaar was er nog ophef over potentiële spionage met behulp van Huawei-apparatuur via de klantsystemen van operators zoals KPN.

Solide risico-aanpak, preventie
Het belang van een solide risico-aanpak en preventieve maatregelen ter bescherming van 5G-netwerken zijn volgens het rapport een must. Deze netwerken vormen de toekomstige ruggengraat van steeds meer gedigitaliseerde economieën en samenlevingen. Miljarden verbonden objecten en systemen zijn betrokken, ook in kritieke sectoren zoals energie, transport, bankwezen en gezondheid, evenals industriële controlesystemen die gevoelige informatie bevatten en veiligheidssystemen ondersteunen.
Het waarborgen van de veiligheid en veerkracht van 5G-netwerken op EU- en nationaal niveau is daarom van essentieel belang, aldus de opstellers van het rapport. De inhoud is gebaseerd op de resultaten van de nationale cyberveiligheidsbeoordelingen door alle EU-lidstaten. Het identificeert de belangrijkste bedreigingen en bedreigingsactoren (zoals hackerscollectieven, al dan niet door staten gesteund), de meest gevoelige activa, de belangrijkste kwetsbaarheden (inclusief technische en andere soorten kwetsbaarheden) en een aantal strategische risico’s.

Aantal belangrijke veiligheidsuitdagingen
Het rapport identificeert een aantal belangrijke beveiligingsuitdagingen in 5G-netwerken, vergeleken met de situatie in bestaande (4G)-netwerken. Deze beveiligingsuitdagingen komen vooral voort uit:
Belangrijke innovaties in de 5G-technologie (die ook een aantal specifieke beveiligingsverbeteringen opleveren), met name het belangrijke deel van software (SDN) en het brede scala aan diensten en toepassingen die mogelijk worden door 5G;
De rol van leveranciers bij het bouwen en exploiteren van 5G-netwerken en de mate van afhankelijkheid van individuele leveranciers.
Als veiligheidsrisico’s worden genoemd:
Een verhoogde blootstelling aan aanvallen en meer potentiële toegangspunten voor aanvallers: met 5G-netwerken die steeds meer software-gebaseerd zijn, worden risico’s van grote beveiligingsfouten, (zoals risico’s die voortvloeien uit slechte softwareontwikkelingsprocessen bij leveranciers), steeds belangrijker. Ze kunnen het voor bedreigingsactoren (zoals hackers) ook makkelijker maken om zelf achterdeuren in producten te bouwen en ze moeilijker te vinden maken.
Vanwege nieuwe kenmerken van de 5G-netwerkarchitectuur en nieuwe functionaliteiten worden bepaalde netwerkapparatuur of -functies gevoeliger, zoals basisstations of belangrijke technische beheerfuncties van de netwerken.
Een verhoogde blootstelling aan risico’s in verband met de afhankelijkheid van mobiele operators van een beperkt aantal netwerkleveranciers. Dit zal ook leiden tot een groter aantal aanvalspaden die kunnen worden uitgebuit door bedreigingsactoren en de potentiële ernst van de impact van dergelijke aanvallen vergroten. Van de verschillende potentiële actoren worden niet-EU-staten of door de staat gesteunde hackergroepen beschouwd als de ernstigste en meest waarschijnlijke doelgroepen van 5G-netwerken.
In deze context van verhoogde blootstelling aan door leveranciers gefaciliteerde aanvallen, zal het risicoprofiel van individuele leveranciers bijzonder belangrijk worden, inclusief de kans dat de leverancier wordt beïnvloed door een niet-EU-land.
Verhoogde risico’s door grote afhankelijkheden van leveranciers: een grote afhankelijkheid van één enkele leverancier verhoogt blootstelling aan de mogelijke onderbreking van levering van benodigde netwerkcomponenten – zoals door productieproblemen – en de gevolgen daarvan. Het verergert ook de potentiële impact van zwaktes of kwetsbaarheden in software, en van hun mogelijke uitbuiting door bedreigingsactoren, met name wanneer de afhankelijkheid betrekking heeft op een leverancier met een hoog risico.
Bedreigingen voor de beschikbaarheid en integriteit van netwerken zullen grote beveiligingsproblemen worden: naast vertrouwelijkheids- en privacy-bedreigingen worden 5G-netwerken naar verwachting de ruggengraat van vele kritieke IT-toepassingen, maar de integriteit en beschikbaarheid van die netwerken zullen grote nationale beveiligingsproblemen worden en een grote veiligheidsuitdaging vanuit EU-perspectief.

Nieuwe beoordeling beveiligingskader mobiele sector
Samen vormen deze uitdagingen een nieuw veiligheidsparadigma, waardoor het noodzakelijk is het huidige beleids- en beveiligingskader voor de mobiele sector en het omringende ecosysteem opnieuw te beoordelen. Het is volgens het rapport essentieel voor EU-lidstaten om de nodige mitigerende maatregelen te nemen.
Om het rapport van de lidstaten aan te vullen, is het European Agency for Cybersecurity (ENISA) bezig met het verder in kaart brengen van het dreigingslandschap met betrekking tot 5G-netwerken, waarin bepaalde technische aspecten die in het rapport worden behandeld, nader worden bekeken.
Tegen 31 december 2019 moet de samenwerkingsgroep overeenstemming bereiken over een reeks instrumenten met mitigerende maatregelen om de geïdentificeerde cyberveiligheidsrisico’s op nationaal en EU- niveau aan te pakken.
Tegen 1 oktober 2020 moeten de lidstaten – met de Commissie – de effecten van de aanbeveling beoordelen om te bepalen of verdere actie nodig is. Bij deze beoordeling moet rekening worden gehouden met de resultaten van de gecoördineerde Europese risicobeoordeling en met de effectiviteit van de maatregelen.

Bron: telecompaper

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *