EK připravuje nová opatření k zabezpečení sítí 5G
Evropská komise vydala koncem ledna sdělení, potvrzující soubor zmírňujících opatření, která mají reagovat na bezpečnostní rizika, jež souvisejí s nástupem páté generace mobilních sítí.
Sdělení přijaté pod názvem „Bezpečné zavádění sítí 5G v EU – Implementace souboru opatření EU“, vychází v návaznosti na výzvu Evropské rady ke koordinovanému přístupu k bezpečnosti sítí 5G.
Do budoucna se mají sítě 5G stát hlavním faktorem rozvoje digitálních služeb v klíčových oblastech života společnosti. Vzhledem k tomu, že sítě 5G budou v roce 2025 podle odhadů celosvětově přinášet 225 mld. eur ročně, Komise je vnímá jako klíč k úspěchu Evropy na globálním trhu a jejich kybernetickou bezpečnost jako zásadní pro zajištění strategické autonomie Unie. Fakticky by sítě propojily miliardy předmětů a systémů, a to i v tak kriticky významných odvětvích, jako jsou energetika, doprava, bankovnictví a zdravotnictví. Budou je využívat i průmyslové řídicí systémy, které obsahují citlivé informace a podporují bezpečnostní systémy.
Soubor opatření pro EU
Zabývá se všemi riziky identifikovanými v koordinovaném posouzení dopadů EU včetně těch, která se týkají netechnických faktorů, jako je např. riziko interference země mimo EU či subjektů podporovaných státem prostřednictvím dodavatelského řetězce sítě 5G. Soubor obsahuje strategická i technická opatření a odpovídající kroky ke zvýšení jejich účinnosti, definované na základě vybraných faktorů.
V rámci souboru opatření se členské státy zavázaly zpřísnit požadavky na bezpečnost, posoudit rizikové profily dodavatelů, uplatnit případně restrikce na dodavatele, kteří jsou považováni za rizikové, a nezbytné výluky u klíčových aktiv označených za kritická a citlivá (jako jsou funkce hlavní sítě) a zavést strategie diverzifikace dodavatelů.
Rozhodování o konkrétních bezpečnostních opatřeních zůstává odpovědností členských států, avšak kolektivní práce na souboru opatření ukazuje pevné odhodlání společně řešit bezpečnostní problémy související se sítěmi 5G. Komise pak bude podporovat celounijní přístup k bezpečnosti sítí 5G a na žádost členských států bude podnikat kroky s využitím všech nástrojů, které má k dispozici, aby zajistila bezpečnost infrastruktury a dodavatelského řetězce pro 5G:
- pravidla v oblasti telekomunikací a kybernetické bezpečnosti,
- koordinace nebo standardizace, jakož i certifikace na úrovni EU,
- rámec pro prověřování přímých zahraničních investic za účelem ochrany evropského dodavatelského řetězce pro 5G,
- nástroje na ochranu obchodu,
- pravidla hospodářské soutěže,
- zadávání veřejných zakázek, při němž budou náležitě zohledněny bezpečnostní aspekty,
- programy financování EU zajišťující, že příjemci splní příslušné bezpečnostní požadavky.
Zpráva o koordinovaném posouzení rizik
Zpráva vyzdvihuje několik aspektů, které jsou pro sítě 5G důležité:
a) V důsledku technologických změn, které s sebou 5G přinese, se zvětší celkový prostor k útokům a množství potenciálních přístupových bodů pro útočníky:
– rozšířené funkce na okraji sítě a méně centralizovaná architektura oproti předchozím generacím mobilních sítí znamenají, že některé z funkcí páteřních sítí lze integrovat do jiných částí sítě, čímž se zvýší citlivost daných zařízení (např. základnových stanic),
– výraznější role, kterou v zařízeních 5G hraje software, s sebou nese větší riziko spojené s vývojem a aktualizacemi softwaru, vznikají nová rizika konfiguračních chyb a na důležitosti z hlediska bezpečnostní analýzy nabývají konkrétní rozhodnutí, jež ve fázi zavádění sítě přijmou jednotliví provozovatelé.
b) Vzhledem k těmto novým technologickým vlastnostem vzroste závislost provozovatelů mobilních sítí na externích dodavatelích a jejich důležitost v dodavatelském řetězci 5G.
– vzhledem ke zvýšené hrozbě útoků prostřednictvím externích dodavatelů bude obzvláště důležitý rizikový profil jednotlivých dodavatelů, zejména tehdy, má-li daný dodavatel v určité síti nebo oblasti výrazné zastoupení.
c) Značná závislost na jediném dodavateli zvyšuje míru expozice vůči jeho možnému selhání a rozsah důsledků takového selhání. Zhoršuje rovněž potenciální dopad slabých míst či zranitelností a jejich možného využití potenciálními útočníky, zejména v případech, kdy se závislost týká dodavatele, který představuje vysoký stupeň rizika.
d) Jestliže se 5G začne některým ze zamýšlených nových způsobů skutečně používat, stanou se sítě 5G důležitým článkem dodavatelského řetězce mnoha kritických IT aplikací, což se nejen dotkne požadavků na zachování důvěrnosti a soukromí, ale integrita a dostupnost těchto sítí se stanou důležitou otázkou národní bezpečnosti.
Soubor opatření pro kyberbezpečnost sítí 5G
Soubor identifikuje a popisuje jak soubor strategických a technických opatření, tak i odpovídající podpůrné kroky ke zvýšení jejich efektivity, jež lze podniknout za účelem zmírnění zjištěných rizik.
Komise doporučuje:
1. Všechny členské státy by si měly zajistit, že budou mít zavedeny nástroje (včetně pravomocí vnitrostátních orgánů), s jejichž pomocí budou moci vhodně a přiměřeně reagovat na v současnosti známá i budoucí rizika, a zejména zajistit, že budou schopny na základě posouzení rizik a z konkrétních bezpečnostních důvodů omezit, zakázat nebo podmínit zvláštními požadavky či podmínkami dodávky zavádění a provoz zařízení pro sítě 5G.
Zejména by měly:
– zpřísnit bezpečnostní požadavky na provozovatele mobilních sítí (např. přísné kontroly přístupu, pravidla bezpečného provozu a sledování, omezení externího zajišťování specifických funkcí apod.);
– posoudit rizikový profil dodavatelů a v návaznosti na něj uplatňovat příslušná omezení vůči dodavatelům, kteří jsou považováni za vysoce rizikové včetně vyloučení nezbytného k účinnému zmírnění rizik, pokud jde o klíčová aktiva označená v koordinovaném posouzení rizik jako kritická a citlivá.
– zajistit, aby měl každý provozovatel vhodnou strategii využívání více prodejců, aby se vyhnul jakékoli významné závislosti na jediném dodavateli (nebo dodavatelích s podobným rizikovým profilem) nebo takovou závislost omezil, zajistit odpovídající rovnováhu dodavatelů v rámci státu. K tomu je nutné také vyhýbat se vzniku závislosti na jediném dodavateli, a to mj. podporováním větší interoperability zařízení.
2. Evropská komise by se spolu s členskými státy měla podílet na:
– udržování rozmanitého a udržitelného dodavatelského řetězce v oblasti 5G s cílem zabránit dlouhodobé závislosti (prostřednictvím maximálního využití stávajících nástrojů a opatření EU).
– zprostředkování koordinace mezi členskými státy, pokud jde o normalizaci za účelem dosažení konkrétních bezpečnostních cílů, a rozvoji příslušných celounijních systémů certifikace s cílem podpořit bezpečnější produkty a procesy.
3. Aby tento koordinovaný přístup obstál v čase, měl by být prodloužen mandát skupiny pro spolupráci v oblasti bezpečnosti sítí a informací k zvláštní činnosti a zachována spolupráce s dalšími relevantními institucemi a subjekty s cílem:
– pravidelně přezkoumávat (za podpory Komise a agentury ENISA) vnitrostátní a unijní posouzení rizik v oblasti bezpečnosti sítí 5G a sítí, jež budou následovat, dále rozpracovávat a sjednocovat použitou metodiku a zohledňovat vývoj technologie 5G,
– pravidelně a podrobně sledovat a vyhodnocovat realizaci souboru opatření, a to na základě strukturovaných zpráv členských států,
– koordinovat a podporovat realizaci podpůrných kroků, k nimž je nutná spolupráce na úrovni EU, zejména vypracování pokynů a výměnu osvědčených postupů k různým opatřením,
– podporovat další možnou koordinaci na úrovni EU, je-li to vhodné, zejména další sbližování technicko- a organizačně-bezpečnostních požadavků na provozovatele sítí.
Závěr – další kroky
Komise vyzvala členské státy, aby doporučená opatření provedly do 30. dubna 2020 a aby do 30. června 2020 připravily společnou zprávu o jejich realizaci v jednotlivých zemích. Společně s Agenturou EU pro kybernetickou bezpečnost bude Komise nadále poskytovat svou plnou podporu, mj. tím, že bude v rámci svých pravomocí podnikat relevantní akce.
Na podporu zavádění a využívání sítí 5G předložila Komise v září 2016 „Akční plán 5G pro Evropu“. Pokud jde o komerční zavádění služeb 5G, je dnes Evropa jedním z nejvyspělejších regionů světa. Do sítí 5G zde byla investována miliarda eur včetně 300 milionů eur finančních prostředků z EU. Očekává se, že do konce tohoto roku budou první služby 5G dostupné ve 138 evropských městech.
Petr Mišúr