Sieć 5G nie niesie za sobą nowych zagrożeń. Nieporozumieniem jest mówienie o znacznie zwiększonej powierzchni ataku czy urojonym dostępie dostawców do przesyłanych przez sieć danych – przekonuje Rafał Jaczyński, Regional Cyber Security Officer CEE & Nordics w Huawei.

Co 5G zmienia w kontekście cyberbezpieczeństwa? Czy sieci nowej generacji są bardziej niebezpieczne od tych istniejących?

Wręcz przeciwnie, każda generacja sieci komórkowych jest lepiej zabezpieczona od poprzedniej i 5G kontynuuje tę tradycję. Z punktu widzenia standardów technicznych nie są to może zmiany rewolucyjne, ale istotne: lepiej chroniona jest prywatność użytkownika dzięki szyfrowaniu jego identyfikatora przesyłanego z telefonu do stacji bazowej, przewidziane jest dwukrotne zwiększenie długości klucza szyfrującego dane użytkownika, metody uwierzytelniania są bardziej spójne, a zarazem elastyczne, wreszcie zabezpieczona została newralgiczna dla każdej sieci telekomunikacyjnej wymiana sygnalizacji z innymi sieciami. 

Pozytywną informacją z punktu widzenia bezpieczeństwa wydaje mi się wykorzystanie architektur, protokołów i mechanizmów znanych również z zastosowań stricte informatycznych. Takie pojęcia, jak: chmura, mikrousługi, Restful APIs, https, programowalna sieć komputerowa czy wirtualizacja funkcji sieciowych, nie są już przecież obce inżynierom i specjalistom od bezpieczeństwa. Jestem przekonany, że wszystkie te kluczowe dla sieci 5G technologie są już teraz w Polsce wykorzystywane, także przez operatorów telekomunikacyjnych. I jest to dobra informacja, bo oznacza, że nie powinno zabraknąć nam praktyków, którzy będą gotowi zmierzyć się z wyzwaniami, jakie niesie ze sobą 5G. 

Jakiego rodzaju nowe zagrożenia pojawią się albo mogą się pojawić?

Postawię kontrowersyjną być może tezę: sieć 5G nie niesie za sobą nowych zagrożeń. Sądzę, że czas wyjść już z zaklętego kręgu sensacyjnych raportów i doniesień medialnych mówiących o znacznie zwiększonej powierzchni ataku związanej z niezwykle szerokim wykorzystywaniem oprogramowania i pasjonujących się urojonym dostępem dostawców do przesyłanych przez sieć danych. To jest jedno wielkie nieporozumienie.

Po pierwsze, już istniejące sieci 4G są oparte na oprogramowaniu. Same stacje bazowe w niektórych wersjach mają powyżej 200 mln linii kodu. W radiowej sieci dostępowej piątej generacji nie zmieni się pod tym względem nic. Skąd zatem mogą się brać nowe rodzaje zagrożeń? Sieć rdzeniowa z kolei będzie skonstruowana docelowo inaczej niż w 4G, ale w tym przypadku będziemy mieli do czynienia z rodzajami ataków znanych dotychczas ze środowisk chmurowych – nihil novi. 

Pojawią się oczywiście nowe podatności, bo będziemy mieli w końcu do czynienia z nowymi produktami, musimy też rozważyć potencjalnie bardziej istotne skutki ataków ze względu na wykorzystanie sieci 5G do innych rodzajów usług, ale nie mówimy tu o nowych, nieznanych zagrożeniach dla samej sieci. Mówimy tak naprawdę o zwiększonym ryzyku, wynikającym z nieograniczonej ludzkiej kreatywności w zastosowaniu nowych, lepszych technologii. Owszem, zarówno standardy, jak i rozwiązania sieci 5G uwzględniają zwiększone wymagania bezpieczeństwa wynikające z nowych zastosowań, ale sieć 5G nie jest ani źródłem nowych zagrożeń, ani rozwiązaniem wszystkich problemów z cyberbezpieczeństwem.

Już istniejące sieci 4G są oparte na oprogramowaniu. Same stacje bazowe w niektórych wersjach mają powyżej 200 mln linii kodu. W radiowej sieci dostępowej piątej generacji nie zmieni się pod tym względem nic. Skąd zatem mogą się brać nowe rodzaje zagrożeń?

A co z ostatnio często dyskutowanym militarnym potencjałem 5G?

Uważam, że osoba lub agencja polegająca na bezpieczeństwie cywilnych sieci komórkowych do wymiany informacji wywiadowczych mogłaby równie dobrze wysłać je e-mailem, a dowódca wojskowy zakładający oparcie komunikacji pola walki na cywilnych sieciach telekomunikacyjnych powinien prewencyjnie trafić pod sąd polowy. Owszem, jest możliwe wykorzystanie technologii LTE lub 5G do zastosowań wojskowych, ale mówimy tu o dedykowanych (sic!) sieciach, opartych na dedykowanych (sic!) rozwiązaniach. Wykorzystanie w tych celach sieci cywilnych, których mechanizmy bezpieczeństwa nie były projektowane do zastosowań specjalnych, nie wydaje mi się dobrym pomysłem. A podnoszenie kwestii militarnych w kontekście obecności tego czy innego dostawcy w sieciach cywilnych nie jest po prostu podejściem uczciwym.

Pojawiają się także obawy związane z dostępem do danych przez dostawców technologii?

To, kto i w jaki sposób ma dostęp do danych przesyłanych przez sieć komórkową, zależy od operatora. Dostawcy nie mają i nie muszą mieć ciągłego dostępu do zainstalowanych urządzeń, a dostęp do celów serwisowych jest każdorazowo akceptowany i monitorowany. Nie ma tu też mowy o bezpośrednim dostępie do urządzeń, z pominięciem systemów bezpieczeństwa operatora, nie ma też żadnego mitycznego połączenia, którym dane przesyłane są do Szwecji, Finlandii lub Chin. To jest abecadło bezpieczeństwa znane doskonale operatorom i dostawcom. Jest przy tym możliwe określenie wymagań bezpieczeństwa, które powinni spełniać operatorzy, dostawcy i ich produkty. Da się przecież określić, w jaki sposób powinny zostać zweryfikowane wszystkie rozwiązania dopuszczane do użytkowania na określonym rynku. Odnoszę jednak wrażenie, że celem w tej całej zabawie pod tytułem „Bezpieczeństwo 5G” jest gonienie króliczka, a nie jego złapanie. 

To, kto i w jaki sposób ma dostęp do danych przesyłanych przez sieć komórkową, zależy od operatora. Dostawcy nie mają i nie muszą mieć ciągłego dostępu do zainstalowanych urządzeń, a dostęp do celów serwisowych jest każdorazowo akceptowany i monitorowany.

Czy jednocześnie dostawcy technologii przewidzieli odpowiednie mechanizmy bezpieczeństwa, które pozwolą rozwiązać te problemy? Co proponuje w tym zakresie Huawei?

Ze standardami bezpieczeństwa sieci komórkowych tak już jest, że nie odpowiadają one na wszystkie wyzwania i jest tu spore pole do popisu dla dostawców. Przykładem może być chociażby kwestia bezpieczeństwa internetu rzeczy. Jak wiemy, problem istnieje, bo kiedyś może nam być trudno obronić się przed miliardami niezabezpieczonych i przejętych czujników bombardujących sieci nadmiarowym ruchem. I sieć 5G, tak jak każda sieć, z punktu widzenia standardów powinna przede wszystkim zająć się transmitowaniem tego ruchu do ofiary, nie będąc ani źródłem problemu, ani częścią rozwiązania. 

My widzimy tutaj potencjał do wsparcia operatorów. Stacja bazowa mogłaby przecież analizować profil obsługiwanego ruchu, sygnalizując lub odrzucając część nadmiarowych wiadomości. I takie rozwiązanie przewidzieliśmy. Standardy nie zmuszają też nas do wyposażenia stacji bazowej w zaawansowany firewall, a jednak oferujemy taką funkcjonalność, bo uważamy, że jest ona istotna dla ograniczenia propagacji zagrożeń pojawiających się także ze strony sieci rdzeniowej. 

Kwestia bezpieczeństwa samego sprzętu i oprogramowania również jest w zakresie odpowiedzialności dostawców. Tutaj nie mogę w pełni wypowiadać się w imieniu konkurencji mniej chętnie udostępniającej rozwiązania i kod źródłowy do testów bezpieczeństwa, ale Huawei na pewno zrobił w tym zakresie gigantyczny postęp. Wystarczy zresztą zajrzeć do statystyk CVE.

Czy zagrożenia i mechanizmy bezpieczeństwa w sieciach nowej generacji to zagadnienie istotne wyłącznie dla dostawców technologii i operatorów czy także dla biznesu i użytkowników końcowych?

Bezpieczeństwo sieci 5G to wyzwanie dla wszystkich. Dla dostawców, bo muszą dostarczyć zgodne ze standardami, dobrze zaprojektowane i wykonane rozwiązania. Dla operatorów, bo to oni są odpowiedzialni za bezpieczeństwo sieci, oni decydują o tym, kto i kiedy ma dostęp do sieci i danych. To oni stawiają dostawcom wymagania w zakresie bezpieczeństwa usług. Jest to wyzwanie także dla regulatorów i rządów – bo świat biznesu i społeczeństwo nie oczekują jałowych dyskusji o wyższości Zachodu nad Wschodem lub odwrotnie, a jasnych, przejrzystych i równych dla wszystkich wymagań bezpieczeństwa ograniczających ryzyko i zapewniających jednocześnie dostęp do najlepszych technologii. No, i jest to również wyzwanie dla biznesu, i dla nas, jako użytkowników – bo sposób, w jaki korzystamy z technologii, może ryzyko zwiększyć, a może je też ograniczyć. I jest to nasza decyzja.

Rozmawiał Rafał Jakubowski.

Rafał Jaczyński był prelegentem podczas „Advanced Threat Summit 2019”. Relacje z konferencji można znaleźć na stronach: https://e-s-r.pl/2019/11/19/potrzebne-jest-holistyczne-podejscie-do-cyberbezpieczenstwa/ oraz https://e-s-r.pl/2019/11/27/bezpieczenstwo-chmury-nikt-nas-nie-zwolni-z-odpowiedzialnosci/.