Le reti 5G svolgeranno un ruolo centrale nella trasformazione dell’economia digitale dell’Ue e la loro sicurezza deve pertanto essere considerata come un processo in continuo divenire e coinvolgere diversi attori (Stati, operatori, fornitori).
Sulla scia di questa convinzione, lo scorso 29 gennaio 2020 è stato pubblicato dal NIS Cooperation Group – composto da rappresentanti di tutte le autorità degli Stati membri, dalla Commissione e dall’Agenzia dell’UE per la cybersicurezza – il Toolbox sul 5G.
Tale documento rappresenta una serie di linee guida volte ad attuare dei piani di mitigazione rispetto agli scenari di rischio evidenziati nel risk assessment effettuato dagli Stati membri.
Il toolbox ha quindi l’obiettivo di supportare gli Stati membri nella definizione delle misure di sicurezza rispetto ai possibili rischi derivanti dall’impiego di tecnologie 5G, nell’ottica di armonizzare gli approcci a livello comunitario.
Con le misure attuate l’Italia si trova già in soluzione di continuità rispetto a quanto previsto dall’UE in materia di 5G, in particolare dal Toolbox. Infatti, molte delle azioni di mitigazione descritte risultano già implementate, in particolare in relazione all’esercizio dei poteri di controllo delle Autorità nazionali ed all’analisi delle tecnologie e dei fornitori orientate a identificare eventuali elementi di vulnerabilità.
Partendo dalle misure di sicurezza già previste, l’Italia potrà implementare ulteriori azioni di mitigazione del rischio sulla base delle indicazioni fornite dal Toolbox attraverso una visione di ampio respiro che coinvolge elementi quali ad esempio rischi geopolitici e rischi industriali
L’approccio Ue alla sicurezza 5G, i tre passaggi fondamentali
La potenza delle reti 5G consentirà di abilitare e supportare una vasta gamma di applicazioni e funzioni, che vanno ben oltre la fornitura di servizi di comunicazione mobile tra utenti. A tal proposito si pensi ad esempio ai vantaggi nei settori della sanità, dell’industria, dell’energia, dell’intrattenimento e della mobilità.
Le potenzialità della tecnologia devono essere comunque accompagnate da adeguate misure di sicurezza che permettano di utilizzare il 5G riducendo i possibili rischi. In tal senso l’UE ha mantenuto una crescente attenzione verso gli approcci di sicurezza attraverso un percorso che ha avuto tre passaggi fondamentali, che verranno discussi di seguito ciascuno in uno specifico paragrafo:
- Valutazione dei rischi effettuata dagli Stati membri rispetto alla sicurezza delle reti 5G
- Analisi delle minacce riguardanti il 5G effettuata da ENISA
- Elaborazione del Toolbox con misure di sicurezza per la gestione delle reti 5G
Valutazione dei rischi degli Stati membri
Il 26 marzo 2019 la Commissione Europea ha adottato la Raccomandazione sulla sicurezza informatica delle reti 5G. Ogni Stato membro ha valutato l’esposizione nazionale al rischio per le proprie infrastrutture di rete 5G e ha trasmesso i risultati alla Commissione e all’ENISA – l’Agenzia dell’Unione europea per Cybersecurity. Sulla base di questi dati è stato elaborato un report, pubblicato il 9 ottobre 2019, contenente le evidenze del risk assessment.
In particolare, il report evidenzia i seguenti rischi derivanti dall’utilizzo delle reti 5G:
- Rischi connessi a inadeguate misure di sicurezza che possono essere rappresentati ad esempio da errori nella configurazione delle reti e da mancanza di regole di controllo accessi stringenti;
- Rischi connessi alla catena di fornitura del 5G, che possono manifestarsi a causa di vulnerabilità o obsolescenza sistemi o componenti dei fornitori, oppure dalla dipendenza da un singolo fornitore;
- Rischi connessi al modus operandi dei principali attori di minaccia come ad esempio quelli relativi a operazioni di interferenza da parte di altri Stati o di criminalità organizzata;
- Rischi connessi a interdipendenze tra reti 5G e altri sistemi critici come ad esempio quelli relativi ai settori della sanità, energia, approvvigionamento di acqua e difesa;
- Rischi connessi ai dispositivi degli utilizzatori finali considerato l’aumento del numero e delle tipologie di dispositivi che saranno connessi con le reti 5G.
ENISA 5G threat landscape
Il 21 novembre 2019 ENISA ha pubblicato un’analisi sulle minacce riguardati le reti 5G.
Tale documento, dopo aver riportato un’analisi del contesto, ha evidenziato le specifiche tecniche associate alla tecnologia 5G. In seguito, vengono identificati e descritti nel dettaglio gli asset utilizzati per il 5G, individuando per ciascuno gli impatti potenziali in termini di perdita di riservatezza, integrità e disponibilità. Viene quindi proposta una tassonomia delle minacce che possono coinvolgere la tecnologia 5G associando ciascuna alle capacità di specifici attori (entità statuali, cyber criminali, hacktivisti, ecc.). Sulla base dell’analisi effettuata vengono quindi proposte alcune raccomandazioni per i Paesi membri, per gli stakeholder del mercato 5G e per le autorità nazionali competenti sul tema di sicurezza del 5G.
EU Toolbox sul 5G
Nel Toolbox sul 5G del NIS Cooperation Group, quindi, si concretizza in una serie di misure di tipo strategico e di tipo tecnico:
- Misure strategiche: riguardano ad esempio l’aumento delle capacità di controllo delle autorità sullo sviluppo e sul procurement, l’adozione di una supply chain diversificata con più fornitori, misure per gestire il rischio rispetto a vulnerabilità “non tecniche” come ad esempio l’interferenza di Paesi terzi;
- Misure tecniche: comprendono l’innalzamento dei presidi di sicurezza delle reti e degli asset 5G attraverso il rafforzamento della tecnologia, dei processi, del personale e della sicurezza fisica.
Il piano di mitigazione previsto dal Toolbox per i diversi scenari di rischio comprende quindi la combinazione di misure tecniche e strategiche per le quali vengono definiti i seguenti aspetti:
- Uno specifico valore di efficacia atteso a partire da una scala a quattro livelli (basso, medio, alto, molto alto) relativo allo spostamento stimato tra il rischio inerente e quello residuo a seguito dell’adozione della misura;
- Potenziali elementi di implementazione che possono essere previsti: costi delle risorse, impatti economici specifici del settore (per gli operatori e per i fornitori), impatti economici e/o sociali più ampi;
- Tempistiche indicative associate all’adozione delle misure: breve termine (0-2 anni), medio termine (2-5 anni), lungo termine (5 anni).
Un ulteriore aspetto di interesse riguarda le indicazioni a beneficio degli Stati membri per l’implementazione delle misure del remediation plan previsto dal Toolbox. Tale attività si compone di cinque fasi:
- Prioritizzazione dei rischi secondo quanto riportato dal risk assessment;
- Riesame dell’efficacia delle attuali misure di mitigazione implementate per far fronte agli scenari di rischio identificati e individuazione di eventuali gap;
- Identificazione dei rischi prioritari (riportati nell’Annex 1 table 2) per gestire i gap rilevati nella fase precedente;
- Valutazione delle misure raccomandate e selezione delle misure con maggior valore di efficacia, considerando i potenziali elementi di implementazione;
- Implementazione di tutte o alcune delle misure previste, in autonomia o in accordo con altri Stati membri.
Entro il 30 giugno 2020, prossima scadenza per fare il punto rispetto alla gestione della sicurezza delle reti 5G a livello UE, gli Stati membri dovranno elaborare una relazione sull’attuazione delle misure chiave.
