Кібербезпека мереж 5G. Набір інструментів ЄС щодо зниження ризиків

Тип: Міжнародний документ

Дата: 23 січня 2020 р.

Статус: Не визначено

Кібербезпека мереж 5G

Набір інструментів ЄС щодо зниження ризиків

Публікація CG

01/2020

Зміст

1. Вступ

2. Цілі набору інструментів

3. Існуючі рамки та заходи

3.1. Інструменти на рівні ЄС

3.2. Впровадження правил телекомунікацій ЄС на національному рівні

3.3. Стандартизація (основна робота в 3GPP)

4. Заходи та плани щодо пом'якшення наслідків

4.1. Заходи та допоміжні дії

4.2. Плани щодо зменшення ризиків

5. Використання та впровадження набору інструментів

5.1. Дії на національному рівні та/або на рівні ЄС

5.2. Реалізація планів щодо пом'якшення наслідків на національному рівні

6. Висновки та подальші дії

Додаток 1 Заходи та плани щодо зниження ризиків

Додаток 2 Короткий виклад результатів скоординованої оцінки ризиків ЄС

1. Вступ

Мережі 5G відіграватимуть центральну роль у досягненні цифрової трансформації економіки та суспільства ЄС. Дійсно, мережі 5G мають потенціал для забезпечення широкого спектру додатків і функцій, які виходять далеко за рамки надання послуг мобільного зв'язку між кінцевими користувачами. З урахуванням того, що в 2025 році світові доходи від 5G, за оцінками, досягнуть 225 мільярдів євро1, технології та послуги 5G є ключовим активом Європи, що дозволяє їй конкурувати на світовому ринку.

Таким чином, кібербезпека мереж 5G необхідна для захисту наших економік та суспільств і для реалізації всього потенціалу важливих можливостей, які вони надають. Це також важливо для забезпечення технологічного суверенітету Європейського Союзу.

Після того, як 22 березня 2019 року Європейська Рада висловила підтримку узгодженому підходу до забезпечення безпеки мереж 5G, Європейська Комісія 26 березня 2019 року прийняла свою Рекомендацію з кібербезпеки мереж 5G (далі «Рекомендація»). Рекомендація закликала держави-члени завершити національні оцінки ризиків та переглянути національні заходи, співпрацювати на рівні ЄС для скоординованої оцінки ризиків та підготувати набір інструментів для можливих заходів щодо пом'якшення наслідків.

Кожна держава-член завершила власну національну оцінку ризиків для своєї мережевої інфраструктури 5G та передала результати Комісії та ENISA - Агенції Європейського Союзу з кібербезпеки.

Виходячи з цих національних оцінок ризиків, 9 жовтня 2019 року держави-члени за підтримки ENISA та Європейської Комісії опублікували звіт про скоординовану оцінку ризиків ЄС у сфері кібербезпеки в мережах 5G2. У цьому звіті визначено основні загрози та дійові особи загроз, найбільш вразливі активи, основні вразливості (включаючи технічні та інші види вразливостей, такі як правові та політичні рамки, яким можуть піддаватися постачальники обладнання для інформаційно-комунікаційних технологій у третіх країнах), а також основні пов'язані з ними ризики. На додаток до цього звіту та як додатковий матеріал для набору інструментів, ENISA провела спеціальне картографування картини загроз3, що включає детальний аналіз певних технічних аспектів, зокрема ідентифікацію мережевих ресурсів та загроз, що впливають на них.

У висновках Ради від 3 грудня 2019 року схвалено роботу Групи держав-членів зі співробітництва в галузі мережевої та інформаційної безпеки (Група співробітництва NIS), що підтверджує результати скоординованої оцінки ризиків. Зокрема, Рада привітала «постійні спільні європейські зусилля щодо забезпечення мереж 5G, засновані, зокрема, на рекомендації Комісії з кібербезпеки мереж 5G» та наголосила на «важливості скоординованого підходу та ефективного виконання Рекомендації, щоб уникнути фрагментації на єдиному ринку». З цією метою Рада закликала держави-члени, Комісію та ENISA «вжити всіх необхідних заходів в рамках своєї компетенції для забезпечення безпеки та цілісності мереж електронних комунікацій, зокрема мереж 5G, і продовжувати зміцнювати скоординований підхід до вирішення проблем безпеки, пов'язаних з технологіями 5G».4

__________

1Дослідницький проєкт ABI: https://www.abiresearch.com/press/abi-research-projects-5g-worldwide-service-revenue.

2https://ec.europa.eu/digital-single-market/en/news/eu-wide-coordinated-risk-assessment-5g-networks-security.

3Картина загроз ENISA для мереж 5G: https://www.ENISA.europa.eu/publications/enisa-threat-landscape-for-5g-networks.

4Висновки Ради щодо значення 5G для європейської економіки та необхідності зменшення ризиків безпеки, пов'язаних з 5G від 3 грудня 2019 року 14517/19 https://www.consilium.europa.eu/media/41595/st14517-en19.pdf.

У звіті ЄС про скоординовану оцінку ризиків висвітлюється ряд важливих проблем безпеки, які, ймовірно, з'являться або стануть більш помітними в мережах 5G. Ці проблеми безпеки в основному пов'язані:

- зі зростаючими проблемами безпеки, пов'язаними з доступністю та цілісністю мереж, на додаток до проблем конфіденційності;

- з ключовими інноваціями в технології 5G (які також призведуть до ряду конкретних поліпшень у сфері безпеки), зокрема, зі збільшеною важливою роллю програмного забезпечення і широким спектром послуг та додатків, підтримуваних мережами 5G; та

- з роллю постачальників у створенні та експлуатації мереж 5G, складністю взаємозв'язків між постачальниками та операторами та ступенем залежності від окремих постачальників.

Далі у звіті робиться висновок, що ці проблеми створюють нову парадигму безпеки, що вимагає перегляду існуючої політики та рамок безпеки, що застосовуються до сектору та його екосистеми, і робить необхідним прийняття державами-членами необхідних заходів щодо пом'якшення наслідків.

Звіт про скоординовану оцінку ризиків ЄС забезпечує основу для визначення заходів щодо пом'якшення наслідків, які можуть бути застосовані на національному та європейському рівнях.

2. Цілі набору інструментів

Цілями даного набору інструментів є визначення можливого загального набору заходів, які здатні знизити основні ризики кібербезпеки мереж 5G, як вони були визначені в звіті ЄС про скоординовану оцінку ризиків, і надання рекомендацій з вибору заходів, які мають бути пріоритетними в планах щодо пом'якшення наслідків на національному рівні й на рівні Європейського Союзу. Це робиться для того, щоб створити надійну систему заходів щодо забезпечення належного рівня кібербезпеки мереж 5G по всьому ЄС і скоординованих підходів між державами-членами.

Скоординована оцінка ризиків ЄС визначає ряд категорій ризиків, що мають стратегічне значення з точки зору ЄС, які ілюструються конкретними сценаріями ризиків. Вони відображають відповідні поєднання вразливостей, загроз і дійових осіб, а також виявлені активи.

Таблиця 1 - Категорії ризиків та сценарії

(джерело: звіт про скоординовану оцінку ризиків ЄС)

I - Сценарії ризику, пов'язані з недостатніми заходами безпеки

R1-Неправильне налаштування мереж

R2-Відсутність контролю доступу

II - Сценарії ризиків, пов'язані з ланцюгом постачань 5G

R3-Низька якість продукції

R4-Залежність від будь-якого одного постачальника в рамках окремих мереж або відсутність різноманітності в масштабах всієї країни

III - Сценарії ризику, пов'язані зі способом дій основних дійових осіб, що становлять загрозу

R5- Втручання держави в ланцюжок постачань 5G

R6- Використання мереж 5G організованою злочинністю або організованою злочинною групою, націленою на кінцевих користувачів

IV - Сценарії ризику, пов'язані з взаємозалежністю між мережами 5G та іншими критично важливими системами

R7- Значне порушення роботи критично важливих інфраструктур або служб

R8- Масовий вихід з ладу мереж через перебої в подачі електроенергії або інших допоміжних систем

V - Сценарії ризику, пов'язані з пристроями кінцевих користувачів

R9- Використання IoT(Інтернету речей), мобільних телефонів або розумних пристроїв

Для ефективного усунення цих ризиків і підвищення безпеки та відмовостійкості мереж 5G потрібен комплексний підхід. Це передбачає впровадження ключового набору заходів, а також супутніх допоміжних дій, які можуть одночасно усувати ризики. Зрештою, ключем до забезпечення скоординованих підходів держав-членів буде ефективне здійснення заходів та дій щодо зниження ризиків у всіх державах-членах, адаптованих до відповідної ситуації в кожній державі-члені.

Цей набір інструментів також містить орієнтовну оцінку заходів, які вимагатимуть загального підходу та/або певної форми координації на рівні ЄС або виграють від них, або які можуть бути найкращим чином реалізовані в координації з іншими державами-членами або окремими державами-членами, залежно від відповідного національного контексту.

Загалом, заходи, представлені в цьому наборі інструментів, сприяють досягненню ряду важливих та взаємопідсилюючих цілей безпеки, які стосуються усунення ризиків, виявлених у звіті про оцінку ризиків, та захисту конфіденційності, цілісності та доступності мереж 5G:

• Підвищення безпеки при проєктуванні, розгортанні та експлуатації мереж;

• Підвищення базових стандартів безпеки продуктів і послуг;

• Мінімізація ризику, що випливає з профілю ризику окремих постачальників;

• Запобігання або обмеження значної залежності від будь-якого одного постачальника в мережах 5G; та

• Сприяння створенню різноманітного, конкурентоспроможного і стійкого ринку обладнання 5G, в тому числі шляхом підтримки потужностей ЄС в ланцюжку створення вартості 5G.

Зазначені заходи представлені в розділі 4 цього звіту і більш детально описані в доданих таблицях.

3. Існуючі рамки та заходи

Метою цього розділу є визначення та опис відповідних існуючих нормативних рамок та інструментів, а також базових заходів і заходів щодо пом'якшення наслідків, які вже застосовуються, з тим щоб враховувати їх при розробці планів зниження ризиків і, можливо, також при впровадженні нових заходів.

3.1. Інструменти на рівні ЄС

3.1.1 Основні нормативні бази Союзу

ЄС використовує ряд інструментів для захисту мереж електронних комунікацій, включаючи систему телекомунікацій ЄС5, Директиву NIS (Директива «Про безпеку мереж та інформаційних систем»)6 та Закон «Про кібербезпеку».7 8

Відповідно до телекомунікаційної системи ЄС, відповідні держави-члени, в яких вони надають послуги, можуть накладати зобов'язання на операторів електрозв'язку. Держави-члени зобов'язані забезпечувати підтримку цілісності та безпеки мереж зв'язку загального користування і мають гарантувати, що підприємства, які надають мережі зв'язку загального користування або загальнодоступні послуги електронного зв'язку, вживають технічних та організаційних заходів для належного управління ризиками, пов'язаними з безпекою мереж і послуг9. Рамкова програма також передбачає, що компетентні національні регуляторні органи наділені повноваженнями видавати обов'язкові до виконання інструкції та забезпечувати їх дотримання. Крім того, відповідно до Директиви 2002/20/ЄC10, державам-членам дозволяється додавати до загального дозволу умови, що стосуються захисту мереж загального користування від несанкціонованого доступу, з метою захисту конфіденційності повідомлень відповідно до Директиви 2002/58/ЄC 11.

Європейський Кодекс електронних комунікацій (EECC), який замінить діючу систему з 21 грудня 2020 року, зберігає положення про безпеку діючої системи (у розділі V, статті 40 і 41), а також вводить визначення безпеки мереж і послуг12 та інцидентів безпеки. На додаток до цього, EECC передбачає, що заходи безпеки мають, як мінімум, враховувати всі відповідні аспекти певних елементів в таких галузях, як безпека мереж і обладнання, обробка інцидентів безпеки, управління безперервністю бізнесу, моніторинг, аудит і тестування, а також відповідність міжнародним стандартам13.

__________

5Директива 2002/21/ЄС з останніми змінами, внесеними Директивою 2009/140/ЄС від 25 листопада 2009 року «Про загальну нормативну базу для мереж і послуг електронного зв'язку», і Директива 2018/1972 від 11 грудня 2018 року «Про встановлення Європейського кодексу електронних комунікацій».

6Директива (ЄС) 2016/1148 від 6 липня 2016 року «Про заходи щодо забезпечення високого загального рівня безпеки мереж та інформаційних систем на всій території Союзу».

7Регламент (ЄС) 2019/881 від 17 квітня 2019 року «Про ENISA» (Європейське Агентство з кібербезпеки) та сертифікацію в галузі кібербезпеки інформаційних та комунікаційних технологій.

8Для підтримки виконання цих зобов'язань та інструментів, Європейський Союз створив ряд органів зі співробітництва. Основним з них є Група співробітництва NIS, створена відповідно до Директиви NIS, яка об'єднує компетентні органи з метою підтримки та сприяння співпраці, зокрема, шляхом забезпечення стратегічного керівництва. Мережа CSIRTs, як мережа національних CSIRTs з держав-членів, сприяє оперативному обміну інформацією. Європейське агентство з кібербезпеки (ENISA), Комісія, держави-члени та національні регуляторні органи розробили технічні рекомендації для національних регулюючих органів щодо повідомлення про інциденти, заходи безпеки, загрози та активи.

9Стаття 13a «Про безпеку та цілісність мереж та послуг» Директиви 2002/21/ЄС з останніми поправками, внесеними Директивою 2009/140/ЄС; та статті 40 і 41 Директиви 2018/1972.

10Директива 2002/20/ЄC від 7 березня 2002 року «Про дозвіл використання мереж і послуг електронного зв'язку» (Директива про авторизацію).

11Директива 2002/58/ЄC від 12 липня 2002 року «Про обробку персональних даних та захист конфіденційності в секторі електронних комунікацій».

12Зокрема, відповідно до статті 2 (21), «безпека мереж і послуг» визначається як «здатність мереж і послуг електронних комунікацій протистояти, при певному рівні довіри, будь-яким діям, які ставлять під загрозу доступність, справжність, цілісність або конфіденційність цих мереж і послуг, даних, що зберігаються, передаються або оброблюються, або пов'язаних з ними послуг, пропонованих цими електронними комунікаційними мережами або послугами або доступних через них».

13Преамбула (94):... «стосовно безпеки мереж та обладнання: фізичної та екологічної безпеки, надійності електропостачання, контролю доступу до мереж та цілісності мереж; стосовно обробки інцидентів безпеки: процедури обробки, можливості виявлення інцидентів безпеки, повідомлення про інциденти безпеки та комунікації; стосовно управління безперервністю бізнесу: стратегія забезпечення безперервності обслуговування та плани дій у надзвичайних ситуаціях, можливості аварійного відновлення; стосовно моніторингу, аудиту та тестування: політики моніторингу та ведення журналу, плани на випадок надзвичайних ситуацій, тестування мереж та послуг, оцінка безпеки та моніторинг відповідності, а також відповідність міжнародним стандартам.»

Ні нинішня система, ні EECC не містять жодних положень, безпосередньо застосовних до виробників мережевого обладнання та інших постачальників послуг у ланцюжку постачань електронних комунікацій, оскільки ці постачальники не підпадають під їх дію.

Директива NIS вимагає від операторів основних послуг в інших галузях (енергетика, фінанси, охорона здоров'я, транспорт, постачальники цифрових послуг тощо) вживати належних заходів безпеки та повідомляти відповідні національні органи про серйозні інциденти. Директива NIS також передбачає координацію між державами-членами в разі транскордонних інцидентів, що зачіпають операторів, що входять в сферу її дії.

Закон «Про кібербезпеку», який набув чинності в червні 2019 року, створює основу для європейських схем сертифікації продуктів, процесів та послуг з кібербезпеки. Після введення в дію, схеми сертифікації також дозволять виробникам продемонструвати, що вони включили певні засоби захисту на ранніх етапах розробки продуктів, а користувачам - визначити рівень гарантії безпеки на рівні ЄС. Система є важливим допоміжним інструментом для забезпечення постійного рівня безпеки. Це дозволяє розробляти схеми сертифікації в галузі кібербезпеки відповідно до потреб користувачів обладнання та програмного забезпечення, пов'язаних з 5G.

3.1.2. Інші відповідні документи на рівні ЄС:

Що стосується торговельної політики, то з 11 жовтня 2020 року Регламент ЄС «Про перевірку прямих іноземних інвестицій (ПІІ)»14 стане інструментом для координації виявлення та усунення потенційних ризиків безпеки, пов'язаних з прямими іноземними інвестиціями в ЄС, серед іншого, в чутливих сферах, таких як критично важливі технології та інфраструктура. Застосований до набору інструментів 5G, а також для захисту ключових активів 5G і запобігання залежності, механізм перевірки ПІІ може стати важливим інструментом для регулярного та більш ефективного моніторингу динаміки припливу ПІІ в ЄС по всьому ланцюжку створення вартості 5G. Якщо конкретні зміни у сфері ПІІ підпадають під дію Регламенту, то вони можуть бути усунені, і держави-члени можуть вжити відповідних заходів щодо пом'якшення наслідків.

Крім того, ЄС використовує інструменти торговельного захисту для відновлення конкурентного середовища для промисловості ЄС, яка постраждала від демпінгового або пільгового імпорту. Зокрема, Європейська Комісія відповідає за розслідування заяв про демпінг з боку виробників-експортерів з країн, що не входять в ЄС, або в разі субсидій, що спотворюють торгівлю. Зазвичай вона починає розслідування після отримання скарги від відповідних виробників з ЄС, але може також у виняткових випадках зробити це за власною ініціативою15.

__________

14Регламент (ЄС) 2019/452 від 19 березня 2019 року «Про встановлення рамок для перевірки прямих іноземних інвестицій в Європейський Союз».

15Антидемпінговий правовий інструмент (Регламент (ЄС) 2016/1036), правовий інструмент по боротьбі з субсидіями (Регламент (ЄС) 2016/1037), захисні заходи (Регламент (ЄС) 2015/478).

Відповідно до чинних правил державних закупівель16, державам-членам рекомендується укладати контракти не тільки на основі найнижчої ціни, але й враховувати якість у таких сферах, як безпека, трудові та екологічні стандарти. Більше того, вони не перешкоджають державам-членам вводити або застосовувати заходи, необхідні для захисту громадської безпеки або істотних інтересів у сфері безпеки. Тендерні заявки від учасників торгів, які не мають безпечного доступу до ринку закупівель ЄС (на основі обов'язкових міжнародних або двосторонніх угод про вільну торгівлю, що охоплюють державні закупівлі), також можуть бути виключені. Держави-члени можуть також за певних умов виключити економічного оператора, який може створити загрозу для основних інтересів національної безпеки. Крім того, у сфері оборони та безпеки, державні закупівельники не зобов'язані надавати доступ до тендерів операторам з третіх країн.

Підтримка та подальший розвиток європейського потенціалу в мережах 5G і, зокрема, в найважливіших ланках ланцюжка створення вартості за рахунок використання програм фінансування досліджень та інновацій ЄС та інструментів промислової політики є стратегічним заходом щодо зниження ризиків, пов'язаних із залежністю. Підтримка передових і амбітних програм фінансування досліджень, інновацій та впровадження, таких як Horizon Europe, Digital Europe Programme і Connecting Europe Facility (CEF), може сприяти появі конкурентоспроможних європейських постачальників, особливо в тому, що стосується процесорів і критично важливого програмного забезпечення. Програми фінансування також містять положення, пов'язані з безпекою.

До того ж, пов'язані з режимом державної допомоги ЄС, IPCEIs (важливі проєкти, що становлять спільний європейський інтерес) дозволяють об'єднати знання, експертизу, фінансові ресурси та економічних суб'єктів по всьому Європейському Союзу17, щоб подолати важливі ринкові або системні збої та соціальні проблеми, які неможливо вирішити іншим способом. Вони покликані об'єднати зусилля державного та приватного секторів для реалізації масштабних проєктів, які дають значну користь Союзу та його громадянам.

Нарешті, інші відповідні або потенційно значущі інструменти та структури на рівні ЄС та на національному рівні містять правила захисту даних та конфіденційності (зокрема, Регламент «Про загальний захист даних» та Директиву «Про конфіденційність в електронній формі»)18, Директиву «Про радіообладнання»19, Правила ЄС з експортного контролю20, вимоги, що застосовуються до критично важливих інфраструктур, а також рамки, спрямовані на реагування на кіберінциденти або кризи, зокрема, План скоординованого реагування на великомасштабні інциденти і кризи в галузі кібербезпеки та Набір інструментів кібердипломатії21.

__________

16Наприклад, Директива 2014/24/ЄС від 26 лютого 2014 року «Про державні закупівлі»; Директива 2009/81/ЄС від 13 липня 2009 року в галузі оборони та безпеки, Керівництво C(2019)5494 від 24 липня 2019 року «Про участь учасників торгів і товарів з третіх країн на ринку закупівель ЄС».

17Ґрунтуючись на статті 107(3)(b) Договору «Про функціонування Європейського Союзу (ДФЄС) і C (2014) 188/02 «Про критерії аналізу сумісності з внутрішнім ринком державної допомоги для сприяння реалізації важливих проєктів, що становлять спільний інтерес для Європи».

18Регламент (ЄС) 2016/679 «Про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних»; Директива 2002/58/ЄС «Про обробку персональних даних та захист конфіденційності в секторі електронних комунікацій».

19Директива 2014/53/ЄС від 16 квітня 2014 року «Про гармонізацію законів держав-членів, що стосуються забезпечення доступності на ринку радіоапаратури».

20Регламент ЄС 428 2009 від 5 травня 2009 року «Про режим Співтовариства з контролю за експортом, передачею, брокерською діяльністю та транзитом товарів подвійного призначення» та Пропозиція COM (2016) 616 від 28 вересня 2016 року.

21Рамки для спільного дипломатичного реагування ЄС на шкідливу кібердіяльність (Висновки Ради від 20 листопада 2017 року, 9916/17) та Рекомендації Комісії (План) щодо скоординованого реагування на масштабні інциденти та кризи кібербезпеки (ЄС 2017/1584). Робоча група в рамках Групи співробітництва NIS виконала завдання щодо впровадження операційного рівня, передбаченого Планом.

3.2. Впровадження правил телекомунікацій ЄС на національному рівні

Відповідно до чинних правил ЄС в галузі телекомунікацій22, держави-члени ЄС контролюють ряд вимог до безпеки для постачальників телекомунікаційних послуг. Як описано в пункті 3.1.1 вище, стаття 13a вимагає від держав-членів забезпечити, щоб:

• Постачальники телекомунікаційних послуг оцінювали ризики та вживали відповідних заходів безпеки;

• Постачальники телекомунікаційних послуг вживали заходів щодо стійкості для запобігання збоям у роботі своїх мереж та/або послуг; та

• Постачальники телекомунікаційних послуг повідомляли відповідні національні органи про значні інциденти.

Більшість національних законів, що відображають поточну правову базу ЄС, були ухвалені приблизно в 2011 році. Щодо методів нагляду та зобов'язань, держави-члени дотримувались різних підходів. Наприклад, у випадках, коли обов'язкові правила застосовуються до операторів мобільного зв'язку, вони можуть охоплювати різні види технічних та організаційних заходів. У державах-членах, де заходи безпеки додатково роз'яснюються в більш технічних і практичних деталях (нерідко за допомогою підзаконних актів), вони часто посилаються на заходи безпеки, передбачені статтею 13a «Система безпеки»23.

__________

22Директива 2002/21/ЄC з останніми поправками, внесеними Директивою 2009/140/ЄC «Про загальну нормативну базу для мереж і послуг електронного зв'язку» від 25.11.2009, і Директивою 2018/1972 від 11 грудня 2018 року, що встановлює Європейський кодекс електронних комунікацій.

23Технічний посібник із заходів безпеки, викладених у статті 13a (https://resilience.enisa.europa.eu/article-13/guideline-for-minimum-security-measures), являє собою детальну систему забезпечення безпеки, розроблену спільно експертами держав-членів для просування загального підходу до нагляду та/або передової практики для нагляду за сектором безпеки по всьому ЄС. Система охоплює широкий спектр заходів безпеки на високому рівні і застосовується до різних типів операторів зв'язку.

На цьому етапі, за дуже невеликими винятками, національні заходи в цій галузі явно не передбачають підвищених вимог до безпеки, конкретно пов'язаних із впровадженням мереж 5G. Подібним чином, вони явно не передбачають регуляторних повноважень або зобов'язань ex ante, пов'язаних з безпекою в контексті закупівель та розгортання операторами мережевого обладнання, а також не містять положень, спрямованих на підвищення безпеки та стійкості за рахунок належного розмаїття постачальників або на усунення ризиків і вразливостей, пов'язаних з профілем ризиків окремих постачальників.

3.3. Стандартизація (основна робота в 3GPP)

Питання безпеки 5G все частіше розглядаються в роботі, що проводиться органами зі стандартизації, зокрема, в рамках робочої групи з питань сервісних та системних аспектів 3 (SA3)24 Проєкту партнерства третього покоління (3GPP)25. Окрім стандартів, також може бути корисно врахувати архітектуру безпеки, визначену 5G-PPP (на основі результатів 5G-Ensure), яка підкреслює важливість секторів управління.

Технології та стандарти 5G можуть підвищити безпеку в порівнянні з попередніми поколіннями мобільних мереж завдяки впровадженню ряду нових функцій, пов'язаних з безпекою, таких як більш суворі процеси автентифікації в радіоінтерфейсі. Однак не всі ці нові функції безпеки будуть активовані в мережевому обладнанні за замовчуванням, оскільки деякі з них є необов'язковими для впровадження постачальниками або для використання операторами. Таким чином, загальна ефективність цих функцій безпеки значною мірою залежатиме від того, як оператори розгортають та керують своїми мережами.

Як зазначено у звіті ЄС щодо скоординованої оцінки ризиків, робоча група SA3 також розглядає законні вимоги до перехоплення в системах 5G і має намір розробити всі специфікації, необхідні для виконання цих вимог26.

4. Заходи та плани щодо пом'якшення наслідків

Заходи, представлені в цьому наборі інструментів, призначені для реалізації відповідальними органами влади та відомствами країн і ЄС, кожне з яких володіє відповідними можливостями і компетенцією, які можуть варіюватися від регуляторного нагляду до ролі в забезпеченні національної безпеки.

Відповідно до звіту ЄС про скоординовану оцінку ризиків, ці заходи стосуються відповідних зацікавлених сторін у сфері безпеки в екосистемі 5G27, насамперед, операторів мобільного зв'язку (MNO)28 та їхніх постачальників, зокрема виробників телекомунікаційного обладнання.

__________

24Робоча група з питань сервісних та системних аспектів 3 (SA3) відповідає за безпеку та конфіденційність у стандартах 5G.

253GPP - це головний глобальний орган з розробки стандартів мобільного зв'язку, створений у співпраці з сімома організаціями - партнерами з Європи (ETSI), США (ATIS), Китаю (CCSA), Японії (ARIB, TTC), Кореї (TTA) та Індії (TSDSI). Групи технічних специфікацій 3GPP стандартизували галузеві функції безпеки в стандартах 3G, 4G, а тепер і 5G.

26У своїх висновках від 3 грудня 2019 року (14517/19) Рада «наголошує на необхідності розгляду та пом'якшення потенційних проблем, що виникають у зв'язку з розгортанням мереж і послуг 5G для правоохоронних органів, включаючи, наприклад, законне перехоплення».

27Ці зацікавлені сторони були визначені під час скоординованої оцінки ризиків ЄС і включають: операторів мобільного зв'язку; постачальників операторів мобільного зв'язку (включаючи виробників телекомунікаційного обладнання та інших сторонніх постачальників, таких як постачальники хмарної інфраструктури, системні інтегратори, підрядники з безпеки та технічного обслуговування, виробники передавального обладнання); виробників підключених пристроїв і пов'язаних з ними постачальників послуг; та інші зацікавлені сторони (включаючи постачальників послуг і контенту, а також кінцевих користувачів мобільних мереж 5G).

28Оператори віртуальних мобільних мереж (MVNO) та оператори критичної інфраструктури з іншого сектору, крім телекомунікацій, які могли б експлуатувати мережі 5G для власної діяльності або від імені третіх сторін, підпадали б під подібну категорію зацікавлених сторін.

З одного боку, оператори мобільного зв'язку відіграють центральну роль у прийнятті рішень, що дає їм можливість впливати на загальну безпеку своїх мереж. З іншого боку, виробники телекомунікаційного обладнання несуть відповідальність за надання програмного та апаратного забезпечення, необхідного для роботи мереж.

Наведені нижче заходи та їх опис ґрунтуються на відповідних висновках звіту ЄС про скоординовану оцінку ризиків. Зокрема:

- У випадках, коли заходи стосуються критичних або чутливих компонентів або функцій мережі, ідентифікація цих компонентів або функцій має базуватися на класифікації високого рівня чутливості активів, визначеній у звіті ЄС про скоординовану оцінку ризиків, та відповідати їй (див. додаток 2 до цього набору інструментів та пункт 2.21 звіту ЄС про скоординовану оцінку ризиків).

- У тих випадках, коли заходи стосуються профілю ризиків окремих постачальників, при оцінці профілю ризиків слід враховувати фактори, визначені в скоординованій оцінці ризиків ЄС29 (див. додаток 2 до цього набору інструментів та пункт 2.37 звіту ЄС про скоординовану оцінку ризиків).

__________

29Звіт ЄС про скоординовану оцінку ризиків визначає кілька факторів ризику для оцінки профілю ризиків постачальника, а саме: ймовірність того, що постачальник зазнає втручання з боку країни, що не входить до ЄС (цьому може сприяти, але не обмежується цим, наявність певних факторів, які також перераховані в звіті ЄС про скоординовану оцінку ризиків); здатність постачальника забезпечити постачання; а також загальна якість продукції та методи забезпечення кібербезпеки постачальника, включаючи ступінь контролю над його власним ланцюжком постачань і те, чи приділяється належна увага методам забезпечення безпеки.

4.1. Заходи та допоміжні дії

Таблиця 2 - набір інструментів та допоміжні дії

Заходи щодо пом'якшення наслідків згруповані у дві основні категорії: стратегічні та технічні.

Ці заходи (детально викладені в додатку 1, таблиця 1) можуть бути використані для зменшення ризиків, визначених у звіті ЄС про скоординовану оцінку ризиків. Вони можуть бути доповнені допоміжними діями для підвищення їхньої ефективності.

4.1.1 Стратегічні заходи охоплюють заходи щодо розширення регуляторних повноважень державних органів для ретельного контролю за закупівлями та розгортанням мереж, конкретні заходи щодо усунення ризиків, пов'язаних з нетехнічними вразливими місцями (наприклад, ризик втручання третьої країни або ризики залежності), а також можливі ініціативи щодо сприяння стійкому та різноманітному ланцюжку постачань 5G та створення вартості, щоб уникнути системних ризиків довгострокової залежності. Стратегічні заходи потенційно досить ефективні в усуненні певних ризиків кібербезпеки 5G, виявлених у звіті ЄС про скоординовану оцінку ризиків.

Були визначені такі вісім стратегічних заходів:

• SM01 Посилення ролі національних органів влади;

• SM02 Проведення перевірок операторів та запит інформації;

• SM03 Оцінка профілю ризику постачальників та застосування обмежень для постачальників, які вважаються високоризикованими, включаючи необхідні винятки для ефективного зменшення ризику, щодо ключових активів;

• SM04 Контроль за використанням постачальників керованих послуг (MSP) і технічної підтримки постачальників обладнання;

• SM05 Забезпечення різноманітності постачальників для окремих MNO за допомогою відповідних стратегій взаємодії з декількома постачальниками;

• SM06 Підвищення стійкості на національному рівні;

• SM07 Виявлення ключових активів та сприяння створенню різноманітної та стійкої екосистеми 5G в ЄС;

• SM08 Підтримка і нарощування різноманітності і потенціалу ЄС у сфері майбутніх мережевих технологій.

4.1.2 Технічні заходи включають заходи щодо посилення безпеки мереж та обладнання 5G шляхом посилення безпеки технологій, процесів, людей та фізичних факторів. Ефективність технічних заходів з точки зору зменшення ризиків буде змінюватися залежно від масштабу заходів та типів ризиків, які необхідно усунути. Зокрема, лише технічні заходи не дозволять усунути нетехнічні фактори вразливості (наприклад, ризик втручання з боку третьої країни або ризики залежності).

Були визначені такі 11 технічних заходів:

• TM01 Забезпечення дотримання базових вимог безпеки (проєктування та архітектура захищеної мережі);

• TM02 Забезпечення та оцінка реалізації заходів безпеки в рамках існуючих стандартів 5G;

• TM03 Забезпечення суворого контролю доступу;

• TM04 Підвищення безпеки віртуалізованих мережевих функцій;

• TM05 Забезпечення безпечного управління, експлуатації та моніторингу мережі 5G;

• TM06 Зміцнення фізичної безпеки;

• TM07 Підвищення цілісності програмного забезпечення, управління оновленнями та виправленнями;

• TM08 Підвищення стандартів безпеки в процесах постачальників за рахунок надійних умов закупівель;

• TM09 Використання сертифікації ЄС для компонентів мереж 5G, обладнання клієнтів та/або процесів постачальників;

• TM10 Використання сертифікації ЄС для інших ІКТ-продуктів і послуг, не пов'язаних з 5G (підключені пристрої, хмарні сервіси);

• TM11 Плани підвищення стійкості та безперервності.

4.1.3. Крім того, комплекс цілеспрямованих допоміжних заходів потенційно може забезпечити реалізацію стратегічних та технічних заходів і тим самим підвищити їх ефективність:

• SA01 Огляд або розробка керівних принципів та найкращих практик у сфері мережевої безпеки;

• SA02 Зміцнення можливостей тестування та аудиту на національному рівні та на рівні ЄС;

• SA03 Підтримка та розвиток стандартизації 5G;

• SA04 Розробка керівництва з впровадження заходів безпеки в існуючі стандарти 5G;

• SA05 Забезпечення застосування стандартних технічних та організаційних заходів безпеки за допомогою спеціальної системи сертифікації в масштабах всього ЄС;

• SA06 Обмін передовим досвідом впровадження стратегічних заходів, зокрема національних механізмів оцінки профілю ризиків постачальників;

• SA07 Поліпшення координації у сфері реагування на інциденти й управління кризовими ситуаціями;

• SA08 Проведення аудиту взаємозалежностей між мережами 5G та іншими критично важливими сервісами;

• SA09 Зміцнення механізмів співпраці, координації та обміну інформацією;

• SA10 Забезпечення того, щоб проєкти з розгортання 5G, які фінансуються з державного бюджету, враховували ризики кібербезпеки

4.2. Плани щодо зменшення ризиків

Для кожної з дев'яти сфер ризику, визначених у звіті ЄС про скоординовану оцінку ризиків, набір інструментів визначає і надає плани щодо зменшення ризиків30. Вони складаються з можливих комбінацій стратегічних та/або технічних заходів (разом із відповідними допоміжними діями), спрямованих на зменшення ризику безпеки.

__________

30У цьому контексті план зменшення ризику описує можливий підхід, який можна застосувати для зменшення ризику

Плани зниження ризиків спрямовані на надання рекомендацій щодо найбільш релевантних/значних заходів для зменшення серйозних наслідків, заснованих на оцінці очікуваної ефективності окремих заходів, перерахованих у розділі 4.1. для зниження конкретного ризику. Однак слід зазначити, що очікувана ефективність більшості заходів значною мірою залежатиме від їхніх масштабів та способу їхньої реалізації (наприклад, посилення регуляторних повноважень потенційно може бути досить ефективним за умови, що вони мають належне охоплення та ефективно використовуються).

Крім того, плани зменшення ризику відображають важливість належного поєднання заходів для забезпечення їх повної ефективності та застосовності до виконання. До того ж, багато заходів, таких як застосування посилених зобов'язань щодо забезпечення безпеки до MNO, вимагають як необхідну передумову, щоб регулятори мали достатньо повноважень для визначення та запровадження таких зобов'язань, а також для моніторингу та аудиту їх виконання.

Ці плани зменшення наслідків детально представлені в додатку 1 (таблиця 2). Також наводиться орієнтовна інформація про інші потенційні фактори впливу на високому рівні.

Передбачувана ступінь очікуваної ефективності враховує початковий ризик та очікуваний залишковий ризик після застосування заходу і з використанням наступної шкали:

• дуже високий: Цей захід вважається ефективним у дуже високому ступені, а це означає, що очікується, що він майже повністю зменшить пов'язані з ним ризики.

• високий: Цей захід вважається високоефективним, а це означає, що очікується значне зменшення пов'язаних з ним ризиків.

• середній: Цей захід вважається дещо ефективним, а це означає, що очікується, що він певною мірою зменшить пов'язані з ним ризики.

• низький: Цей захід навряд чи вважається ефективним, оскільки очікується, що він лише незначно зменшить пов'язані з ним ризики.

Крім того, для кожного заходу в таблиці планів зниження наслідків (додаток 1, таблиця 2), вказані інші параметри й характеристики з метою надання допомоги державам-членам у виборі та здійсненні заходів, а саме:

• Потенційні фактори реалізації (можуть бути позитивними та/або негативними):

° Витрати на ресурси

° Економічні наслідки для конкретного сектору (для операторів або постачальників)

° Більш широкі економічні та/або соціальні наслідки

• Орієнтовні часові рамки для ухвалення необхідних рішень з реалізації заходів, виражені з використанням такої шкали:

° Короткострокові: 0-2 роки

° Середньострокові: 2-5 років

° Довгострокові: >5 років

Для зручності ознайомлення, на наступній сторінці наведено спрощене візуальне представлення таблиці 2 додатка 1. Зверніть увагу, що всі наведені тут вказівки щодо очікуваної ефективності, потенційних факторів впливу й орієнтовних строків є умовними і залежать від зауважень та умов, перерахованих в таблиці 2 додатка 1. Будь ласка, зверніться до додатка 1 для отримання більш детальної інформації.

Таблиця 3: спрощений огляд заходів у планах щодо зниження ризиків (більш детальну інформацію дивіться у додатку 1, таблиця 2)

{Таблиця 3}

5. Використання та впровадження набору інструментів

5.1. Дії на національному рівні та/або на рівні ЄС

Як зазначено вище, для ефективного зниження виявлених ризиків необхідно відповідне поєднання різних видів заходів. Дійсно, державам-членам потрібно буде вжити ряд заходів щодо зменшення ризиків, пов'язаних з 5G. Заходи можуть бути реалізовані за допомогою дій на національному рівні та/або на рівні ЄС, залежно від конкретного заходу/дій. Деякі заходи можуть бути безпосередньо впроваджені або посилені на національному рівні, в той час як інші можуть вимагати подальших дій або спільних дій на рівні ЄС, відповідно до відповідних компетенцій.

Для реалізації стратегічних заходів може знадобитися прийняття спеціального законодавства на національному рівні, щоб повною мірою забезпечити їх ефективність. Деякі держави-члени вже запровадили законодавство, пов'язане з цими стратегічними заходами, а інші розробляють подібне законодавство. У майбутньому координація між державами-членами або на рівні ЄС може виявитися корисною для просування конвергентних підходів.

Заходи щодо стійкості та різноманітності ланцюжка постачань та створення вартості 5G, щоб уникнути довгострокової залежності, вимагають узгодженого стратегічного підходу, підкріпленого розробкою політики та законодавства на рівні ЄС та/або ефективною реалізацією існуючих інструментів ЄС у контексті 5G (наприклад, у сфері дослідження та інновацій (R&I) або торгівлі).

Багато технічних заходів можуть бути реалізовані в контексті впровадження Європейського кодексу електронних комунікацій. Що стосується впровадження та нагляду за цими заходами, державам-членам, швидше за все, доведеться співпрацювати у розбудові потенціалу та зберігати певну свободу дій щодо методів нагляду та зобов'язань. Оскільки деякі з цих заходів будуть однаково застосовні до будь-яких мереж 5G, вони можуть отримати вигоду від подальшого розширення співпраці з ЄС та обміну знаннями, зокрема, шляхом перегляду та розробки керівних принципів та найкращих практик, і, можливо, від подальшої координації на рівні ЄС.

Заходи підтримки, ймовірно, не потребуватимуть законодавчої підтримки. Однак вони вимагатимуть такої ж координації.

5.2. Реалізація планів зниження ризиків на національному рівні

При виборі того, які заходи необхідно вжити, окремі держави-члени будуть ухвалювати рішення про доцільність вжиття заходів. Державі-члену також потрібно буде оцінити, чи є у неї ресурси для забезпечення виконання цього заходу, чи є потреба у співпраці з іншими державами-членами або на рівні ЄС.

Реалізація заходів державами-членами буде варіюватися залежно від ряду факторів, таких як загальні характеристики національного телекомунікаційного ринку (включаючи терміни розгортання мереж 5G, присутність постачальників в мережах і ступінь залежності від окремих постачальників, національні ресурси і можливості, а також правову базу і вже діючі вимоги безпеки). У планах впровадження можуть також вказуватися перехідні або поступові етапи, зокрема, в тих випадках, коли той чи інший захід призведе до істотного відходу від існуючої практики.

Проте, існує ряд всеосяжних загальних параметрів для всіх держав-членів, які дозволяють визначати вибір та пріоритетність заходів. Це забезпечується за рахунок високорівневої оцінки ефективності заходів, а також за рахунок вказівки різних типів факторів впливу і можливих/бажаних строків реалізації заходів, як зазначено в додатку 1 (таблиця 2).

Таблиця 4: Як користуватися набором інструментів

Крок 1

Держава-член надає пріоритет ризикам відповідно до національної/ЄС скоординованої оцінки ризиків.

Крок 1a

Держава-член розглядає ефективність існуючих заходів щодо зниження ризиків в рамках оцінки ризиків і виявляє прогалини.

Крок 2

Держава-член визначає пріоритетні ризики в таблиці 2 (додаток 1) для усунення прогалин, виявлених на етапі 1a.

Крок 3

Держава-член вивчає відповідні рекомендовані заходи та плани зниження ризиків та вибирає заходи, які матимуть найбільший ефект, і розглядає потенційні фактори реалізації, самостійно або спільно з іншими державами-членами.

Крок 5

Держава-член реалізує всі заходи або їхні частини відповідним чином, індивідуально або спільно з узгодженими державами-членами.

6. Висновки та подальші дії

Набір інструментів ЄС містить ряд заходів і дій, які при належному поєднанні та ефективному здійсненні формують основу для скоординованого підходу в цій сфері. Дійсно, враховуючи широкий спектр сфер ризику, виявлених під час скоординованої оцінки ризиків ЄС, та їх різний характер, жоден тип заходів не буде достатнім, а замість цього буде потрібним ряд заходів, що використовуються у відповідній комбінації, для усунення всіх ключових сфер ризику.

Ґрунтуючись на оцінці можливих планів зниження ризиків та визначенні заходів з найбільшою ефективністю, цей набір інструментів рекомендує, щоб:

1. Всі держави-члени забезпечили вжиття заходів (включно з повноваженнями національних органів влади) для належного та пропорційного реагування на визначені в цей час та майбутні ризики та, зокрема, забезпечити, щоб вони могли обмежовувати, забороняти та/або встановлювати конкретні вимоги чи умови, дотримуючись підходу, заснованого на оцінці ризику, для постачання, розгортання та експлуатації мережевого обладнання 5G на основі цілого ряду міркувань, пов'язаних з безпекою.

Вони мають, зокрема:

• Посилити вимоги до безпеки операторів мобільного зв'язку (наприклад, суворий контроль доступу, правила безпечної експлуатації та моніторингу, обмеження на аутсорсинг певних функцій тощо);

• Оцінити профіль ризику постачальників; як наслідок, застосувати відповідні обмеження до постачальників, які вважаються високоризикованими, включно з необхідними винятками для ефективного зменшення ризиків, щодо ключових активів, визначених як критичні та чутливі в рамках скоординованої оцінки ризиків ЄС (наприклад, основні мережеві функції, функції управління мережею та координації, а також функції доступу до мережі);

• Забезпечити, щоб кожен оператор мав відповідну стратегію взаємодії з кількома постачальниками, щоб уникнути або обмежити будь-яку серйозну залежність від одного постачальника (або постачальників з подібним профілем ризику), забезпечити належний баланс постачальників на національному рівні та уникнути залежності від постачальників, які вважаються високоризикованими; це також вимагає уникати будь-яких ситуацій співпраці з одним постачальником, зокрема шляхом підвищення сумісності обладнання;

2. Європейська Комісія спільно з державами-членами має внести свій вклад у:

• підтримку різноманітного і стійкого ланцюжка постачань 5G, щоб уникнути довгострокової залежності, в тому числі шляхом:

° повного використання існуючих інструментів ЄС, зокрема, шляхом перевірки потенційних прямих іноземних інвестицій (ПІІ), що впливають на ключові активи 5G і уникаючи викривлень на ринку постачань 5G, пов'язаних з потенційним демпінгом або субсидіями; та

° подальшого зміцнення потенціалу ЄС у технологіях 5G та після 5G, використовуючи відповідні програми та фінансування ЄС.

• сприяння координації між державами-членами щодо стандартизації для досягнення конкретних цілей безпеки та розробки відповідної схеми(м) сертифікації в усьому ЄС з метою просування більш безпечних продуктів і процесів.

3. Для забезпечення того, щоб цей скоординований підхід витримав випробування часом, слід розширити мандат Робочої групи зі співробітництва NIS, а також співпрацю з іншими відповідними органами та структурами, зокрема, з метою:

• періодичного перегляду - за підтримки Комісії та ENISA - національні оцінки ризиків та оцінки ризиків ЄС щодо безпеки мереж 5G та мереж після 5G, вдосконалюючи та узгоджуючи застосовувану методологію оцінки та адаптуючи її до нової технології 5G.

• проведення детального та регулярного моніторингу та оцінки впровадження набору інструментів на основі структурованої звітності держав-членів;

• координації та підтримки виконання допоміжних дій, які вимагають співпраці на рівні ЄС, зокрема, щодо розробки керівних вказівок та обміну передовим досвідом щодо різних заходів.

• підтримки подальшої можливої координації на рівні ЄС, де це доречно, зокрема, для забезпечення подальшого зближення технічних та організаційних вимог до безпеки мережевих операторів.

Додаток 1 до набору інструментів 5G ЄС щодо заходів зниження ризиків

• Таблиця 1: стратегічні, технічні заходи та допоміжні дії

{Таблиця 1}

• Таблиця 2: Плани зменшення ризиків

У таблиці 2 нижче наведено плани зменшення ризиків для кожної зі сфер ризику NICE, визначених у звіті про скоординовану оцінку ризиків ЄС.

Розрахункова ступінь очікуваної ефективності враховує початковий ризик та очікуваний залишковий ризик після застосування заходу і з використанням такої шкали:

• Дуже висока: Цей захід вважається ефективним у дуже високому ступені, а це означає, що очікується, що він майже повністю зменшить пов'язані з ним ризики.

• Висока: Цей захід вважається високоефективним, а це означає, що очікується значне зниження пов'язаних з ним ризиків.

• Середня: Цей захід вважається дещо ефективним, а це означає, що очікується, що він певною мірою зменшить пов'язані з ним ризики.

• Низька: Цей захід навряд чи вважається ефективним, оскільки очікується, що він лише незначно зменшить пов'язані з ним ризики.

Крім того, для кожного заходу в таблиці, присвяченій планам пом'якшення наслідків (додаток 1, таблиця 2), вказані інші параметри й характеристики з метою надання допомоги державам-членам у виборі та здійсненні заходів, а саме:

• Потенційні фактори впровадження (як позитивні, так і негативні), а саме:

° Витрати на ресурси

° Економічні наслідки для конкретного сектору (для операторів або постачальників)

° Більш широкі економічні та/або соціальні наслідки

• Орієнтовні часові рамки для прийняття необхідних заходів по реалізації заходів, виражені з використанням наступної шкали:

° Короткострокові: 0-2 роки

° Середньострокові: 2-5 років

° Довгострокові: >5 років

{Таблиця 2}

Додаток 2 - Короткий виклад результатів скоординованої оцінки ризиків ЄС53

__________

53Повний звіт: https://ec.europa.eu/digital-single-market/en/news/eu-wide-coordinated-risk-assessment-5g-networks- security

Координована оцінка ризиків ЄС проводиться відповідно до підходу, викладеного в методології оцінки ризиків ISO/IEC: 27005. Вона відображає оцінку набору параметрів:

• Основні типи загроз, що виходять від мереж 5G;

• Основні суб'єкти, що представляють загрозу;

• Основні активи та ступінь їх вразливості;

• Основні вразливості; та

• Основні ризики та пов'язані з ними сценарії.

Загрози, активи та вразливості

Рисунок 1- Зведене уявлення про категорію загроз у розбивці за суб'єктами загроз

- Загрози

Загрози, що виходять від держав або підтримуваних державою суб'єктів, вважаються найбільш актуальними. Вони справді представляють найсерйозніших та найімовірніших суб'єктів загроз, оскільки вони можуть мати мотивацію, наміри та, що найголовніше, здатність здійснювати постійні та складні атаки на безпеку мереж 5G.

Поєднання мотивації, намірів і можливостей високого рівня дозволяє державам здійснювати атаки, які можуть бути дуже складними та мати серйозний вплив на основні послуги для населення в цілому, знижуючи довіру до мобільних технологій та операторів. Наприклад, держави або суб'єкти, що підтримуються державою, можуть спричинити масштабні перебої в роботі телекомунікаційних служб, використовуючи недокументовані функції або атакуючи взаємозалежні критичні інфраструктури (наприклад, системи електропостачання).

Що стосується держави і підтримуваних державою суб'єктів, то особливу загрозу становлять ініціативи країн, що не входять до ЄС, щодо кібератак. Кілька держав-членів визначили, що деякі країни, що не входять до ЄС, представляють особливу кіберзагрозу для їхніх національних інтересів, ґрунтуючись на попередніх методах проведення атак певними організаціями або на існуванні наступальної кіберпрограми вказаної третьої держави проти них.

Слід також зазначити, що інсайдери або субпідрядники за певних обставин також можуть розглядатися як потенційні суб'єкти загрози, особливо якщо вони залучаються державами, оскільки вони можуть використовуватися державою як каналу для отримання доступу до критично важливих цільових активів.

Можна також вважати, що інші категорії суб'єктів мають важливу мотивацію атакувати мережі 5G на свою користь, наприклад, організовані злочинні групи, корпоративні структури, які прагнуть отримати конкурентну перевагу в технологічній сфері за рахунок крадіжки інтелектуальної власності (ІВ), або кібертерористи.

- Мережеві активи

КАТЕГОРІЇ ЕЛЕМЕНТІВ І ФУНКЦІЙ

ПРИКЛАДИ ОСНОВНИХ ЕЛЕМЕНТІВ

Основні мережеві функції

КРИТИЧНО ВАЖЛИВІ

Функції автентифікації користувальницького обладнання, роумінгу та управління сеансами

Функції передачі даних користувальницького обладнання

Управління політикою доступу

Реєстрація та авторизація мережевих сервісів

Зберігання даних користувача та мережі

Підключення до сторонніх мобільних мереж

Доступність основних мережевих функцій для зовнішніх додатків

Віднесення пристроїв кінцевого користувача до сегментів мережі

Управління NFV та координація мережі (MANO)

КРИТИЧНО ВАЖЛИВІ

Системи управління та допоміжні служби (крім MANO)

ПОМІРНІ/ВИСОКІ

Системи управління безпекою

Виставлення рахунків та інші системи підтримки, такі як продуктивність мережі

Мережа радіодоступу

ВИСОКІ

Базові станції

Транспортні та функції передачі

ПОМІРНІ/ВИСОКІ

Низькорівневе мережеве обладнання (маршрутизатори, комутатори тощо)

Фільтруюче обладнання (брандмауери, IP-адреси...)

Міжмережеві обміни

ПОМІРНІ/ВИСОКІ

IP-мережі, зовнішні щодо локальних мережевих сервісів MNO, що надаються третіми сторонами

Основні мережеві функції мереж 5G, як правило, вважаються критично важливими. Дійсно, вплив на основну мережу може потенційно порушити конфіденційність, доступність та цілісність усіх мережевих служб (тоді як збої в роботі інших компонентів можуть мати більш обмежений вплив, наприклад, впливаючи лише на певну функцію чи сектор). Крім того, найбільш конфіденційні дані передаються через основні мережеві компоненти.

Системи управління та допоміжні служби (MANO та інші системи управління та допоміжні служби) вважаються важливими, навіть якщо ці системи не передають трафік, оскільки вони контролюють важливі елементи мережі й, отже, можуть використовуватися для здійснення шкідливих дій, таких як саботаж і шпигунство з серйозними наслідками. До того ж, втрата доступності або цілісності цих систем і сервісів може істотно порушити функціонування мереж 5G.

Серед основних функцій та систем управління/допоміжних служб особливо важливим вважається ряд елементів і функцій, зокрема: управління NFV і мережева координація (MANO), основні функції доступу та контролю, функції безпеки, функції законного перехоплення, криптографічні інфраструктури, необхідні для налаштування й експлуатації 5G мережі та конкретні функції управління.

Функції мережі доступу також були оцінені як відносно високочутливі. Однак оцінка ступеня чутливості конкретних елементів функцій доступу варіюється залежно від ряду факторів. Крім того, на майбутніх етапах розвитку 5G традиційно менш чутливі ділянки мережі набувають все більшого значення і стають більш чутливими, такими як, наприклад, певні елементи мережі радіодоступу, залежно від ступеня, в якій вони обробляють призначені для користувача дані або виконують інтелектуальні або конфіденційні функції. Більше того, з впровадженням периферійних обчислень очікується, що деякі основні мережеві функції будуть фізично перенесені далі по мережі, ближче до місць доступу.

Функції транспортування та передачі даних були оцінені як чутливі від помірного до високого ступеня. Однак, як і у випадку з функціями доступу, оцінка ступеня чутливості конкретних елементів функцій транспортування і передачі даних варіюється залежно від ряду факторів.

Функції міжмережевих обмінів були оцінені як чутливі від помірного до високого ступеня, залежно від їхньої ролі у взаємозв'язку між MNO.

- Інші активи

При розгляді основних активів можна розглядати ряд організацій та категорій користувачів як такі, що потребують особливої уваги, а саме:

Оператори основних служб відповідно до Директиви NIS та оператори критичної інфраструктури;

Державні структури, правоохоронні органи, громадська оборона та допомога у разі стихійних лих (PPDR), військові;

Ключові сектори/організації, на які не поширюються правила кібербезпеки;

Стратегічні приватні компанії; та

Райони або організації, для яких не існує рішення для резервного копіювання в разі збою мережі 5G.

Крім того, ряд держав-членів визначили географічні райони, які є особливо вразливими, на основі аналізу демографічних, економічних, соціальних та національних факторів безпеки. Дійсно, деякі райони можуть зазнати великих збоїв у роботі через високу економічну та соціальну залежність від мереж та інформаційних систем (наприклад, як у випадку з «розумними містами») або через те, що в них розташовані чутливі об'єкти або категорії користувачів.

- Вразливість

У звіті оцінювалися три основні типи вразливостей:

1. Вразливості, пов'язані з обладнанням, програмним забезпеченням, процесами та політикою

Як і будь-яка цифрова інфраструктура, мережі 5G можуть бути пов'язані з цілим рядом загальних технічних вразливостей, які можуть впливати на програмне забезпечення, обладнання або виникати через потенційні недоліки в процесах забезпечення безпеки будь-якої з різних зацікавлених сторін54. Крім того, на ранній стадії розгортання також необхідно належним чином враховувати вразливості в наявній інфраструктурі 3G і 4G.

__________

54Наприклад, британський Центр оцінки кібербезпеки Huawei (HSCEC) проаналізував практику одного з найбільших постачальників мережевого обладнання щодо обладнання та послуг 4G.

Хоча багато з цих вразливостей не характерні для мереж 5G, їхня кількість і значущість, ймовірно, зростуть з розвитком 5G через підвищення рівня складності технології та майбутньої більшої залежності економіки й суспільства від цієї інфраструктури.

Коли справа доходить до вразливостей, пов'язаних з процесами або конфігурацією, вважається, що вони мають особливе значення в майбутньому середовищі 5G:

Для всіх зацікавлених сторін, зокрема операторів мобільного зв'язку та їхніх постачальників:

Дефіцит спеціалізованого та навченого персоналу для забезпечення безпеки, моніторингу та обслуговування мереж 5G;

Відсутність належного внутрішнього контролю безпеки, методів моніторингу, систем управління безпекою та недоліки в практиці управління ризиками;

Відсутність або неадекватні процедури забезпечення безпеки або оперативного обслуговування, такі як управління оновленнями/виправленнями програмного забезпечення; та

Невідповідність стандартам 3GPP або неправильне впровадження стандартів.

Для операторів мобільної мережі:

Поганий дизайн та архітектура мережі;

Слабкий фізичний захист мережі та ІТ-інфраструктури;

Неефективні політики для локального та віддаленого доступу до мережевих компонентів;

Відсутність або недостатні вимоги до безпеки в процесі закупівель; та

Неефективний процес управління змінами.

2. Вразливості, властиві конкретним постачальникам

Підвищена роль програмного забезпечення та послуг, що надаються сторонніми постачальниками в мережах 5G, призводить до більшого впливу ряду вразливостей, які можуть бути пов'язані з профілем ризиків окремих постачальників. Профілі ризиків окремих постачальників можуть бути оцінені на основі декількох факторів, зокрема:

Ймовірність того, що постачальник піддасться втручанню з боку країни, що не входить в ЄС. Це один з ключових аспектів при оцінці нетехнічних вразливостей, пов'язаних з мережами 5G55. Такому втручанню можуть сприяти, серед іншого, такі фактори:

° Міцний зв'язок між постачальником та урядом такої третьої країни;

° Законодавство третьої країни, особливо в тих випадках, коли відсутні законодавчі або демократичні системи стримувань і противаг, або за відсутності угод про безпеку або захист даних між ЄС і такою третьою країною56;

° Характеристики корпоративної власності постачальника; та

° Можливість для третьої країни чинити будь-який тиск, в тому числі щодо місця виробництва обладнання.

Здатність постачальника забезпечити постачання.

Загальна якість продукції та методи забезпечення кібербезпеки постачальника, включаючи ступінь контролю над його власним ланцюжком постачань і те, чи приділяється належна увага методам забезпечення безпеки.

__________

55Хоча прямий доступ суб'єкта загрози до телекомунікаційного ланцюжка постачань або його вплив на нього може значно полегшити його використання для здійснення шкідливих дій та значно посилити наслідки таких дій, слід також зазначити, що суб'єкти з високим рівнем намірів та можливостей, такі як державний суб'єкт, будуть прагнути використовувати вразливості на будь-якому етапі життєвого циклу товару, що постачається будь-яким постачальником.

56У цьому контексті кілька держав-членів вважають, що постачальники, які перебувають під юрисдикцією третіх країн, що проводять наступальну політику в кіберпросторі, є більш високоризикованими.

При оцінці профілю ризиків постачальника можуть також братися до уваги повідомлення, видані органами ЄС та/або національними органами держав-членів.

3. Вразливості, обумовлені залежністю від окремих постачальників

В рамках окремих мереж значна залежність від одного постачальника (монокультура) створює залежність від конкретних рішень і ускладнює закупівлю рішень в інших постачальників, особливо в тих випадках, коли рішення не повністю сумісні.

У результаті оператори, що базуються в ЄС, які стають надмірно залежними від одного постачальника обладнання, піддаються ряду ризиків, пов'язаних з тим, що цей постачальник піддається постійному комерційному тиску, будь то через банкрутство, злиття чи поглинання або введення санкцій.

На національному рівні та рівні ЄС недостатня різноманітність постачальників підвищує загальну вразливість інфраструктури 5G, зокрема, якщо велика кількість операторів отримують свої чутливі активи від постачальника, що представляє високий ступінь ризику, як описано вище. Залежність від однієї або декількох мереж також суттєво впливає на стійкість на національному та загальноєвропейському рівнях і створює єдині точки відмови.

До того ж, наявність на ринку обмеженої кількості постачальників може зменшити їх стимули до розробки більш безпечних продуктів. Це також може негативно позначитися на можливостях національних органів влади та операторів вимагати більш високих гарантій безпеки, особливо для невеликих держав-членів або операторів.

Основні ризики та ризикові сценарії

Скоординована оцінка ризиків ЄС виявила кілька основних категорій ризиків, проілюстрованих конкретними сценаріями ризиків, що описують можливі шляхи атак, які суб'єкт загрози може використовувати для досягнення своєї мети:

I - Сценарії ризику, пов'язані з недостатніми заходами безпеки

Р1-Неправильна конфігурація мереж: використовуючи погано сконфігуровані системи та архітектуру, державний суб'єкт проникає в мережу 5G через її зовнішні інтерфейси, що призводить до порушення основних функцій мережі, або використовує периферійні обчислювальні вузли, щоб порушити конфіденційність інформації та порушити роботу розподілених служб.

Р2-Відсутність контролю доступу: субпідрядник, що володіє правами адміністратора в мережі, здійснює несприятливі дії, що призводять до порушення конфіденційності/цілісності та/або доступності. Дії субпідрядника можуть бути викликані юридичними вимогами, що пред'являються третьою країною, або недобросовісною поведінкою персоналу підрядника.

II - Сценарії ризиків, пов'язані з ланцюжком постачань 5G

Р3-Низька якість продукту: шпигунство з боку держави або підтримуваних державою суб'єктів, які використовують шкідливе програмне забезпечення для зловживання неякісними мережевими компонентами або ненавмисні уразливості, що зачіпають чутливі елементи основної мережі, такі як функції віртуалізації мережі.

Р4-Залежність від будь-якого одного постачальника в окремих мережах або відсутність різноманітності по всій країні: оператор мобільного зв'язку отримує велику кількість важливих мережевих компонентів або послуг від одного постачальника. Згодом доступність обладнання та/або оновлень від цього постачальника різко знижується через відмову постачальника від постачань (наприклад, через торгові санкції з боку третьої держави або інші комерційні обставини). Як наслідок, якість обладнання постачальника знижується через те, що пріоритетна увага приділяється гарантіям постачань, а не підвищенню безпеки продукції.

III - Сценарії ризику, пов'язані зі способом дій основних суб'єктів, що становлять загрозу

Р5- Втручання держави в ланцюжок постачань 5G: вороже налаштований державний суб'єкт чинить тиск на постачальника, що перебуває під його юрисдикцією, з метою надання доступу до конфіденційних мережевих активів за допомогою (навмисно або ненавмисно) вбудованих вразливостей.

Р6- Використання мереж 5G організованою злочинністю або організованою злочинною групою, націленою на кінцевих користувачів: взявши під контроль критичну частину архітектури мережі 5G, організована злочинна група порушує роботу різних служб з метою отримання викупу у компаній, що користуються цими послугами, або у самого оператора мобільного зв'язку. Крім того, використовуючи подібний спосіб нападу, організована злочинна група може також атакувати кінцевих користувачів, наприклад, надсилаючи неправдиві повідомлення користувачам мережі в рамках великомасштабної «фішингової» атаки або онлайн-шахрайства, або використовуючи скомпрометовану мережу для отримання доступу до конфіденційних даних користувачів (наприклад, коди двофакторної аутентифікації) для отримання додаткового прибутку.

IV - Сценарії ризику, пов'язані з взаємозалежністю між мережами 5G та іншими критично важливими системами

Р7- Значне порушення критично важливих інфраструктур або служб: зловмисники-хакери можуть скомпрометувати служби екстреної допомоги, отримавши контроль над їхньою виділеною ділянкою мережі, що ставить під загрозу доступність служби й цілісність інформації/даних, що використовуються для/в рамках цієї служби.

Р8-Масові збої в роботі мереж через перебої в подачі електроенергії або інших допоміжних систем: масові збої в подачі електроенергії через стихійні лиха або атак на енергосистему з боку держави, підтримуваних державою суб'єктів або організованої злочинної групи.

V - Сценарії ризику, пов'язані з пристроями кінцевих користувачів

Р9-Використання IoT (інтернету речей): група хактивістів або підтримуваний державою суб'єкт отримує контроль над пристроями з низьким рівнем захисту, такими як IoT (датчики, побутова техніка тощо), щоб атакувати мережу, пригнічуючи її площину сигналізації.

Висновки за результатами скоординованої оцінки ризиків ЄС

Скоординована оцінка ризиків ЄС виявляє ряд важливих проблем безпеки, які, ймовірно, з'являться або стануть більш помітними в мережах 5G в порівнянні з ситуацією в нинішніх мережах. Ці проблеми безпеки переважно пов'язані з:

- Ключові інновації в технології 5G (які також призведуть до ряду конкретних поліпшень у сфері безпеки), зокрема, важлива частина програмного забезпечення і широкий спектр послуг і додатків, підтримуваних 5G;

- Роль постачальників у створенні та експлуатації мереж 5G та ступінь залежності від окремих постачальників.

Зокрема, очікується, що впровадження мереж 5G призведе до наступних наслідків:

- Підвищена схильність до атак та більше потенційних точок входу для зловмисників: оскільки мережі 5G все більше базуються на програмному забезпеченні, ризики, пов'язані з серйозними недоліками безпеки, такими як неякісні процеси розробки програмного забезпечення у постачальників, набувають все більшого значення. Вони також можуть полегшити зловмисникам введення бекдорів у продукти та ускладнити їх виявлення.

- Завдяки новим характеристикам архітектури мережі 5G і новим функціональним можливостям деякі елементи мережевого обладнання або функції стають більш чутливими, наприклад базові станції або ключові функції технічного управління мережами.

- Підвищена схильність до ризиків, пов'язаних із залежністю операторів мобільного зв'язку від постачальників. Це також призведе до збільшення кількості шляхів атаки, які можуть бути використані зловмисниками, і збільшить потенційну серйозність наслідків таких атак. Серед різних потенційних суб'єктів найбільш серйозними й такими, що з найбільшою ймовірністю будуть націлені на мережі 5G, вважаються держави, що не входять до ЄС, або суб'єкти підтримувані державою.

- У цьому контексті підвищеної схильності до атак за сприянням постачальників профіль ризику окремих постачальників набуває особливого значення, включно з ймовірністю того, що постачальник зазнає втручання з боку країни, що не входить до ЄС.

- Підвищені ризики, пов'язані з сильною залежністю від постачальників: сильна залежність від єдиного постачальника збільшує схильності до потенційного перебою в постачаннях, наприклад, в результаті банкрутства і його наслідків. Це також посилює потенційний вплив слабких місць або вразливостей та їх можливого використання зловмисниками, зокрема, у випадках, коли залежність стосується постачальника, який представляє високий ступінь ризику.

- Загрози доступності та цілісності мереж стануть основними проблемами безпеки: на додаток до загроз конфіденційності, оскільки мережі 5G, як очікується, стануть основою багатьох критично важливих ІТ-додатків, цілісність і доступність цих мереж стануть основними проблемами національної безпеки та серйозною проблемою безпеки з точки зору ЄС.

Далі у звіті робиться висновок, що ці проблеми створюють нову парадигму безпеки, що вимагає перегляду поточної політики та рамок безпеки, що застосовуються до сектору та його екосистеми, і для держав-членів важливо вжити необхідних заходів щодо зменшення наслідків.

{Оригінальний текст перекладу}

{Текст англійською мовою}

Пов'язані документи

  • Регламент Європейського Парламенту і Ради (ЄС) № 2016/1036 від 8 червня 2016 року про захист від демпінгового імпорту з країн, які не є членами Європейського Союзу
  • Директива Європейського Парламенту і Ради 2014/24/ЄС від 26 лютого 2014 року про публічні закупівлі та про скасування Директиви 2004/18/ЄС
  • Регламент Європейського Парламенту і Ради (ЄС) 2019/881 від 17 квітня 2019 року про Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) та про сертифікацію кібербезпеки інформаційно-комунікаційних технологій, а також про скасування Регламенту (ЄС) № 526/2013 (Акт про кібербезпеку)
  • Директива Європейського Парламенту і Ради 2009/140/ЄС від 25 листопада 2009 року про внесення змін до директив 2002/21/ЄС про спільні регулятивні рамки для електронних комунікаційних мереж та послуг, 2002/19/ЄС про доступ до електронних комунікаційних мереж, пов'язаних засобів та їх взаємоз'єднання, та 2002/20/ЄС про авторизацію електронних комунікаційних мереж та послуг
  • Директива Європейського Парламенту і Ради (ЄС) 2018/1972 від 11 грудня 2018 року про запровадження Європейського кодексу електронних комунікацій
  • Директива 2002/21/ЄС Європейського Парламенту та Ради від 7 березня 2002 року про спільні правові рамки для електронних комунікаційних мереж та послуг (Рамкова Директива)
  • Директива Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу
  • Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)
  • Консолідовані версії Договору про Європейський Союз та Договору про функціонування Європейського Союзу з протоколами та деклараціями