Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

cyber security

I cyber pericoli del 5G: per le nostre reti e il nostro Paese

L’avvento del 5G, in Italia e nel mondo, comporta un aumento del rischio cyber evidenziato anche dalla Commissione Ue. Un pericolo legato sostanzialmente all’innalzamento del livello di complessità della protezione di una rete e dei suoi servizi. Le principali criticità e gli scenari geopolitici

12 Dic 2018

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche


Siamo alle soglie della grande svolta del 5G nelle telecomunicazioni. Un passaggio epocale che comporta anche  rischi “epocali”.

Di qui la necessità di aumentare il livello di sicurezza cyber (di reti, oggetti, infrastrutture) in vista di un futuro prossimo in cui tutto sarà connesso (sempre più) grazie alla quinta generazione mobile.

I rischi cyber assumono una doppia valenza: di tipo cyber crime classico e geopolitico (cyber spionaggio tra Paesi).

5G e cyber sicurezza

La presenza dei molteplici rischi derivanti dalla introduzione della nuova tecnologia rende estremamente rilevante e attuale la discussione relativa alla cyber security.

Diventa obbligatorio conoscere e prepararsi agli inevitabili pericoli derivanti dall’utilizzo del 5G cui ci si sta affacciando; se poi si considerano obiettivi strategici come le reti informatiche, che hanno il compito di gestire la distribuzione elettrica ed i trasporti, è facile immaginare quanto duramente un attacco cyber possa colpire mettendo in crisi un intero sistema.

I sistemi informatici interconnessi, ora collegati attraverso le moderne tecnologie 5G sempre più performanti, erano già da tempo naturali target delle “attenzioni” degli hacker. All’interno di un più ampio processo di esame delle criticità, occorre considerare che questi sistemi sono destinati o possono essere impiegati in settori come le reti informatiche che gestiscono la distribuzione elettrica o i trasporti: è facile immaginare quanto duramente un attacco cyber potrebbe colpire attraverso questi settori, mettendo in crisi un intero sistema.

In effetti, parlando di sistemi informativi complessi, si pensa subito a quelli che governano la vita di un qualsiasi paese moderno, agendo in condizioni di interoperabilità ed interconnessione.

Soprattutto il vincolo strettissimo di interconnessione dei sistemi fa ritenere che questi siano un “unicum” da proteggere e il successo nella loro protezione costituisca l’essenza della salvaguardia dello stesso intero paese all’interno del quale operano, in perfetta sinergia e continuità, tutte le componenti.

Sicurezza delle reti e sicurezza del Paese

Uno Stato deve essere considerato come un “insieme unico” dal punto di vista della protezione: da un lato, infatti, la minaccia cyber si rivela ostile contro qualsiasi tipo di target, dall’altro la congruenza e la sistematicità degli interventi (siano essi a protezione di infrastrutture pubbliche o private, civili o militari, periferiche o centrali) garantiscono economie di scala, visione sistemica, cooperazione e condivisione delle informazioni sulle contromisure, equo livello di sicurezza in tutti i settori del Paese.

La sicurezza è fatta di hardware oltre che di software e parte dai dispositivi che usiamo, passando per le tecnologie di supporto fisico dell’ICT (information and communication technology). Ogni pezzo che costituisce la catena del valore attraverso la quale usufruiamo di un servizio coopera alla sicurezza del servizio stesso. Di conseguenza anche quando decidiamo di utilizzare una parte (una tecnologia, un dispositivo) della catena dovremmo preoccuparci di “qualificarlo” o comunque di qualificare il produttore, secondo i termini attualmente in uso. La qualificazione è un processo che va standardizzato; in ogni caso la tendenza che sta emergendo è quella di caratterizzare l’esito della qualificazione secondo tre direttrici:

  • competenza, intesa come effettiva capacità di rendere il prodotto/servizio richiesto
  • rispondenza ai requisiti, intesa come capacità di operare per il committente nei tempi e nei modi richiesti
  • indipendenza e neutralità. Quest’ultima è ovviamente una richiesta che viene evasa (in analisi) dal committente e non dal fornitore: va cioè analizzato che non esistano prove contrarie alla neutralità (soprattutto da ingerenze governative del Paese di origine) del fornitore potenziale.

Una soluzione analoga potrebbe essere pensata per la verifica degli investitori e della loro “vision” nell’investimento.

In ogni caso, su questo tema, è chiaro che scelte, forse economicamente vantaggiose per un operatore, ribalterebbero costi di verifica e controllo (che si renderebbero necessari) sull’intera comunità.

La sicurezza delle reti 5G

Il recente rapporto[1], supportato dalla Commissione Europea, del Gruppo di Lavoro sulla Sicurezza 5G PPP (il 5G PPP Phase 1 Security Landscape) ha evidenziato le criticità e la possibile inadeguatezza iniziale dei sistemi di sicurezza delle reti 5G i quali, dopo una prima fase di sperimentazione, stanno per rivestire il ruolo essenziale nella trasmissione delle comunicazioni, e ora anche sul territorio italiano.

Con riferimento a queste nuove tecnologie, il pericolo deriva sostanzialmente dall’innalzamento del livello di complessità della protezione di una rete e dei suoi servizi proprio tramite l’introduzione di SDN (Software Defined Networking) e NFV (Network Function Virtualization). Inoltre, si ipotizza che il rischio principale delle reti mobili 5G deriva dallo standard SS7 in uso per i protocolli di segnalazione per i quali, nella loro progettazione, non si è tenuto conto dei principi della “security by design”. Del resto è stata proprio la necessità di rendere il sistema più fruibile tra gli utenti che, di contro, ha reso la nuova struttura[2] meno efficiente in termini di sicurezza e, come ulteriore conseguenza diretta, più vulnerabile rispetto al rischio di attacchi cyber per le nuove connessioni mobili.

Lo scacchiere geopolitico del territorio cyber

Con riferimento allo scacchiere geopolitico del territorio cyber, in diversi paesi proliferano ormai iniziative volte sia per proteggere all’interno dei propri confini la infrastruttura critica di comunicazione e la comunicazione stessa, sia per proteggersi da ingerenze esterne considerando la perdita di controllo del proprio traffico dati, dai livelli più bassi a quelli più alti, un gravissimo problema per la sicurezza nazionale.

Va letto in questo contesto il recente conflitto Usa-Cina intorno all’uso di tecnologie 5G cinesi per infrastrutture occidentali (già del 2012 un rapporto del Congresso USA su possibili rischi di spionaggio cyber).

Si dice che sia protezionistica la posizione americana per limitare la presenza di tecnologie cinesi. Ma già da tempo soprattutto i Paesi orientali stanno adottando una politica estremamente protezionistica che comporta un aumento esponenziale della funzione di controllo sul trasferimento e contenuto dei dati stessi la quale sembra travalicare, o addirittura non considerare, il limite della privacy in nome della sicurezza nazionale.

Considerando che lo spazio cibernetico (l’informatica, le reti a supporto, i dati, i dispositivi) consente a chi produce dispositivi e software di tenere nelle proprie mani le redini del controllo degli stessi, le soluzioni “protezionistiche” intraprese da alcuni paesi sono state adottate proprio per salvaguardare le proprie infrastrutture di comunicazione dagli hacker che potrebbero attentare all’integrità statuale sfruttando proprio le vulnerabilità della nuova rete.

Più precisamente, volendo intervenire per una miglior gestione del livello di sicurezza necessario agli operatori per operare nel “territorio” del 5G, si è posto espressamente l’accento sulla necessità di un controllo di queste nuove reti in ragione della sicurezza nazionale esprimendo preoccupazione sia per la intercettabilità abusiva di dati durante il loro trasferimento sia per la relativa facilità di azioni di hacking che comporterebbero conseguenze a vari livelli sulla stabilità del sistema critico della comunicazione.

Il 5G in Italia

Tutto questo sarà realtà vissuta in Italia a partire dal prossimo anno. Il debutto del 5G nel nostro Paese è previsto per metà 2019.

Com’è noto, il Ministero dello Sviluppo Economico ha pubblicato lo scorso 2 ottobre gli esiti della recente gara[3] indetta per la assegnazione dei diritti d’uso delle frequenze nelle bande 694-790 mhz, 3600-3800 mhz e 26.5-27.5 ghz. Alla gara sono risultati vincitori ed assegnatari Iliad Italia S.p.A., Vodafone Italia S.p.A., Telecom Italia S.p.A., Wind Tre S.p.A. e Fastweb S.p.A.

Mentre ad Iliad è stata riservata una fascia come “nuovo operatore”, le grandi società di comunicazione non hanno lesinato nelle offerte per potersi aggiudicare le frequenze. Considerando gli esiti raggiunti, allo Stato italiano è stato garantito un introito di 6.550.422.258,00 euro.

Molti operatori stanno sperimentando il 5G avvalendosi di tecnologie cinesi.

In conclusione

In conclusione, proprio incentrando la riflessione sul concetto della sicurezza, occorre rilevare che l’avvento del 5G, in Italia e nel mondo, ha comportato un aumento del rischio cyber rispetto ai preesistenti sistemi di comunicazione 4G che già a loro volta non erano esenti da problematiche di sicurezza[4]. Inoltre, sulla base delle considerazioni riportate, sembrerebbe che l’introduzione di una nuova tecnologia, seppur incredibilmente efficiente e performante, possa provocare criticità o effetti negativi di vario genere per i quali i risultati della sperimentazione in atto sul territorio nostrano sono forse ancora troppo embrionali per poter offrire oggi una chiave di lettura della complessa tematica.

____________________________________________________

  1. https://5g-ppp.eu/wp-content/uploads/2014/02/5G-PPP_White-Paper_Phase-1-Security-Landscape_June-2017.pdf
  2. https://www.ericsson.com/assets/local/publications/white-papers/wp-5g-security.pdf
  3. http://www.sviluppoeconomico.gov.it/images/stories/documenti/Determina_Direttoriale_aggiudicazione-FIRMATA.pdf e http://www.sviluppoeconomico.gov.it/images/stories/documenti/Offerte-finali-asta_2ott2018.pdf
  4. https://www.ericsson.com/assets/local/publications/white-papers/wp-5g-security.pdf

@RIPRODUZIONE RISERVATA

Articolo 1 di 4