Securitatea lanțului de aprovizionare reprezintă esența activității oricărui responsabil cu securitatea. Riscul de securitate cibernetică la care este expusă o organizația depinde de ce și cine are acces la aceasta, mai ales în contextul în care lanțul de furnizori are complexitatea unui fractal – furnizorii și prestatorii de servicii au, la rândul lor, proprii furnizori și prestatori de servicii. Din punct de vedere practic, lanțul de aprovizionare specific industriei telecomunicațiilor este infinit de complex și în continuă expansiune.
Conform studiului Extended Enterprise Risk Management Survey 2020 (Studiu privind gestionarea riscurilor pentru întreprinderea extinsă, 2020) realizat de Deloitte, doar 20% dintre respondenți declară că pot monitoriza în mod eficient fie toți subcontractanții, fie doar pe cei mai importanți. Ritmul progresului tehnic și comercial conduce însă la o complexitate tot mai mare a lanțurilor de aprovizionare și pune presiune pe companii pentru a investi din punct de vedere al securității.
Există trei modalități prin care un furnizor poate afecta securitatea rețelei unei companii:
– Prin persoanele sau sistemele care pot accesa rețeaua companiei;
– Prin vulnerabilități existente în produsele pe care le livrează;
– Prin faptul că nu livrează ceea ce este necesar și când este necesar pentru funcționarea rețelei.
Un furnizor – fie că este partea care amenință sau că este victima unei părți rău intenționate – nu poate interveni în rețeaua 5G foarte ușor.
Controlul persoanelor care au acces la rețea necesită trei lucruri:
– Persoanele cărora le este acordată permisiunea trebuie să fie verificate ex-ante, prin procese de verificare guvernamentală, dacă este necesar;
– Permisiunile acordate în calitate de operator de rețea trebuie să fie explicite, nu implicite și legate de anumite persoane cu constrângeri legate de timp, obiect și locație;
– Comportamentul operațional individual trebuie să fie monitorizat în permanență în timpul accesului la rețeau, sisteme și instalații. Acest lucru se extinde la astfel de modele de servicii, în care se stabilește o conexiune tehnică cu sistemele aflate sub controlul furnizorului.
În timp ce ultimele două instrumente sunt cele mai bune practici acceptate pe scară largă, mulți operatori și guverne nu reușesc să ceară personalului care are acces la rețelele 5G de care sunt atât de interesați să aibă o autorizație de securitate la nivel național.
Există doar trei condiții în care un factor de amenințare poate afecta o rețea prin exploatarea unei vulnerabilități:
– Exista în produsul pe care achiziționat inițial sau a fost introdus prin intermediul unei actualizări;
– Reprezintă fie o funcționalitate programată dinainte să se declanșeze pe baza unor condiții specifice, cum ar fi ora sau data, fie poate fi activată din interiorul sau din afara rețelei;
– Imposibilitatea de a detecta sau reacționa la timp pentru a atenua complet sau cel puțin pentru a limita consecințele exploatării vulnerabilității.
Trebuie menționat că niciun test de securitate nu garantează 100% că un produs nu conține vulnerabilități. Cu toate acestea, poate limita numărul acestora sau poate fi utilizat ca factor de diferențiere în luarea deciziilor de achiziție. În principiu, pentru operatorii sau țările care se preocupă de securitate, nicio versiune a unui element sau a unei actualizări de rețea critice nu ar trebui să ajungă într-o rețea activă fără o verificare de securitate și niciun element de rețea nu ar trebui scutit de verificarea de securitate prin eșantionare, adică aplicabilă actualizărilor selectate. În 5G, astfel de elemente critice de rețea ar reprezenta un subset al nucleului 5G, cel puțin în conformitate cu specificațiile ETSI/3GPP.
Este esențial ca operatorii să aibă acces la bancuri de testare care pot fi utilizate drept „rețele gemene”, adică reconstituiri în terminologia DevOps, pentru a verifica modul în care modificarea configurației parametrilor de rețea sau a traficului în interiorul rețelei influențează comportamentul elementelor de rețea. În plus, traficul de control către și dinspre elementele de rețea din rețeaua activă este cel puțin monitorizat și filtrat pentru a se asigura încadrarea în profilul de trafic așteptat. Pentru aceasta, operatorii ar trebui să înființeze și să mențină capacități și facilități pentru a rula, compara, igieniza și testa cel puțin elementele binare, pentru a evalua noile produse și actualizări pe aceste bancuri de testare pentru „rețele gemene” înainte de a le implementa în rețeaua reală.
Pentru operatorii mai mici sau pentru cei care sunt dispuși să accepte mai multe riscuri, nivelul de bază al asigurării oferite de sistemele de certificare și asigurare, cum ar fi EECC, GSMA NESAS, precum și cele aflate în curs de dezvoltare de către ENISA, ar putea fi suficient. Orice certificare trebuie înțeleasă ca o demonstrație a capacității furnizorului, mai degrabă decât ca o garanție a securității produsului pe toată durata sa de viață. Certificarea confirmă calitatea și capacitățile unei anumite versiuni a produsului și ar putea fi considerată o garanție puternică a securității, dacă operatorul ar utiliza exact aceeași versiune a produsului fără actualizări ulterioare; este puțin probabil ca acest lucru să se întâmple în cazul elementelor de rețea 5G, deoarece acestea sunt îmbunătățite, cu funcționalități din ce în ce mai semnificative, în timp și adaptate la cerințele operatorilor de rețea.
Nevoia de detectare și de limitare a acțiunilor rău intenționate este de o importanță capitală – niciun furnizor nu ar trebui să facă imposibilă înțelegerea de către operatorul de rețea a specificațiilor interfețelor sau a profilului normal de trafic și nici nu ar trebui să refuze cerințele operatorilor de a accesa informații importante privind securitatea. Pentru rețelele 5G, acestea s-ar putea traduce prin următoarele cerințe de securitate care ar trebui incluse în ofertele de licitație și, eventual, susținute de legislația națională:
1. Toate elementele rețelei 5G trebuie să raporteze către un depozit central de jurnale prin intermediul unui canal securizat în timp aproape real, fără a utiliza relee;
2. Toate elementele de rețea 5G trebuie să permită instalarea de sonde de rețea și agenți de punct final de la terți, de exemplu, EDR-uri;
3. Toate elementele de rețea trebuie să asigure o interfață API deschisă pentru preluarea inventarului detaliat al elementelor de rețea hardware și software;
4. Toate elementele rețelei trebuie să raporteze evenimente AAA, evenimente de securitate, comportamente anormale, starea de funcționare (sarcini, CPU/Memorie, listă de procese, utilizare);
5. Toate elementele de rețea trebuie să ofere o evidență detaliată a matricei traficului de rețea (protocoale, porturi etc);
6. Toate elementele rețelei trebuie să furnizeze un ghid de consolidare a celor mai bune practici și un manual operațional de implementare securizată;
7. Toate elementele de rețea trebuie să instaleze numai software sau firmware care poartă semnătura digitală a furnizorului și care să fie instalate cu ajutorul unor conturi dedicate, acestea fiind singurele conturi autorizate să efectueze această operațiune; procesul de instalare trebuie să necesite autentificare cu mai mulți factori;
8. Toate artefactele binare de software, firmware trebuie să fie echivalente binare, și anume, compilarea codului sursă al produsului trebuie să corespundă artefactelor binare livrate de furnizor;
9. Patch-urile de securitate sunt separate de patch-urile funcționale și au un domeniu de aplicare limitat;
10. Furnizorii trebuie să comunice fără întârzieri nejustificate orice vulnerabilități sau puncte slabe identificate în produsele lor, să ofere îndrumări cu privire la posibilele măsuri de combatere a acestora, dacă există, și să dezvolte patch-uri de securitate pentru eliminarea acestor vulnerabilități într-un termen rezonabil.
Procesul furnizorului care are cel mai mare impact asupra poziției de securitate a rețelei, pe întreaga durată de viață, este dezvoltarea și furnizarea de actualizări de securitate. Orice vulnerabilități identificate trebuie remediate, fără excepție.
