Ecco il rapporto Ue sulla valutazione dei rischi legati al 5G

11 Ottobre 2019

Gli Stati membri dell’Unione europea, con il sostegno della Commissione europea e dell’Agenzia Ue per la Cybersecurity (ENISA), hanno appena pubblicato una relazione sulla valutazione coordinata a livello di UE dei rischi per la cibersicurezza delle reti di quinta generazione (5G). Si tratta di una tappa fondamentale nell’attuazione della raccomandazione della Commissione europea, adottata nel marzo 2019 per garantire un elevato livello di cybersicurezza delle reti 5G in tutta l’UE.

Le reti 5G costituiscono la futura colonna portante delle nostre economie e delle nostre società sempre più digitalizzate. Sono interessati miliardi di oggetti e sistemi connessi, anche in ambiti critici quali l’energia, i trasporti, le banche e la salute, oltre a sistemi di controllo industriali che trasportano informazioni sensibili e fanno da supporto ai sistemi di sicurezza. È quindi essenziale garantire la sicurezza e la resilienza delle reti 5G.

La relazione si basa sui risultati delle valutazioni nazionali dei rischi per la cybersicurezza, effettuate da tutti gli Stati membri dell’UE, e individua le minacce più rilevanti e i principali autori di tali minacce, le risorse più sensibili e le principali vulnerabilità (di natura tecnica e di altro tipo), nonché diversi rischi strategici.

La valutazione costituisce il punto di partenza per individuare le misure di attenuazione che possono essere applicate a livello nazionale ed europeo.

Punti salienti della valutazione dei rischi coordinata a livello di UE

La relazione individua diverse importanti sfide per la sicurezza, che possono palesarsi o assumere maggior rilievo nell’ambito delle reti 5G rispetto alla situazione delle reti esistenti.

Tali sfide sono soprattutto legate:

  • a innovazioni chiave nella tecnologia 5G (che introdurranno anche diverse migliorie specifiche in termini di sicurezza), in particolare la parte importante del software e l’ampia gamma di applicazioni e servizi resi possibili dal 5G;
  • al ruolo dei fornitori nella realizzazione e nell’uso delle reti 5G e al grado di dipendenza da singoli fornitori.

In particolare, si presume che l’introduzione delle reti 5G avrà i seguenti effetti:

  • una maggiore esposizione agli attacchi e un aumento del numero dei potenziali punti di accesso per gli autori di tali attacchi. Dato che le reti 5G si basano sempre più sul software, stanno assumendo importanza i rischi legati a gravi lacune a livello di sicurezza, come quelle derivanti da processi inadeguati di sviluppo del software da parte dei fornitori. Ciò potrebbe anche consentire agli autori delle minacce di inserire malevolmente backdoor più difficilmente individuabili nei prodotti;
  • per via delle nuove caratteristiche dell’architettura e delle nuove funzionalità delle reti 5G, alcuni elementi dell’apparecchiatura o determinate funzioni di rete stanno diventando più sensibili, come le stazioni base o le principali funzioni di gestione tecnica delle reti;
  • una maggiore esposizione ai rischi legati alla dipendenza degli operatori di reti mobili dai fornitori, che aumenterà anche il numero dei percorsi di attacco sfruttabili dagli autori delle minacce ed esacerberà la potenziale gravità dell’impatto di tali attacchi. Tra i vari autori possibili, i paesi non membri dell’UE o i soggetti sostenuti da governi sono ritenuti i più pericolosi e potenzialmente più inclini ad attaccare le reti 5G;
  • in questo contesto di maggiore esposizione ad attacchi resi possibili dai fornitori, il profilo di rischio dei singoli fornitori assumerà particolare importanza, compresa la probabilità che il fornitore subisca interferenze da un paese non membro dell’UE;
  • un aumento dei rischi derivanti da una forte dipendenza dai fornitori: una forte dipendenza da un unico fornitore aumenta l’esposizione al rischio derivante da un’eventuale interruzione dell’approvvigionamento dovuta, ad esempio, a un insuccesso commerciale, e alle sue conseguenze. Tale dipendenza aumenta inoltre il potenziale impatto delle debolezze o delle vulnerabilità nonché la possibilità che queste vengano sfruttate dagli autori di minacce, in particolare quando la dipendenza riguarda un fornitore che presenta un elevato grado di rischio;
  • le minacce alla disponibilità e all’integrità delle reti diverranno importanti problemi in materia di sicurezza: in aggiunta alle minacce alla riservatezza e alla tutela della privacy, la prevista conversione delle reti 5G nella colonna portante di numerose applicazioni informatiche critiche farà sì che l’integrità e la disponibilità di tali reti diventino importanti problemi in materia di sicurezza nazionale e una sfida di primo piano per la sicurezza a livello di UE.

Tutte queste sfide creano un nuovo paradigma di sicurezza che richiede un riesame dell’attuale quadro politico e di sicurezza applicabile al settore e al suo ecosistema ed impone agli Stati membri di adottare le necessarie misure di attenuazione.

Panorama delle minacce analizzato dall’Agenzia europea per la cybersicurezza: a complemento della relazione degli Stati membri, l’Agenzia europea per la cybersicurezza sta ultimando una mappatura specifica del panorama delle minacce per le reti 5G, che esamina più in dettaglio alcuni aspetti tecnici della relazione.

Prossime tappe

Entro il 31 dicembre 2019 il gruppo di cooperazione dovrebbe concordare una serie di misure di attenuazione per far fronte ai rischi per la cybersicurezza individuati a livello nazionale e dell’Unione.

Entro il 1º ottobre 2020 gli Stati membri, in cooperazione con la Commissione, dovrebbero valutare gli effetti della raccomandazione per determinare se vi sia bisogno di ulteriori interventi. La valutazione dovrebbe tenere conto dell’esito della valutazione europea coordinata dei rischi e dell’efficacia delle misure.

Contesto

Il 26 marzo 2019, dopo aver ricevuto il sostegno del Consiglio europeo, la Commissione ha adottato una raccomandazione sulla cybersicurezza delle reti 5G, invitando gli Stati membri a completare le valutazioni nazionali dei rischi, a rivedere le misure nazionali e a collaborare a livello di UE su una valutazione coordinata dei rischi e su un insieme comune di misure di attenuazione.

A livello nazionale ciascuno Stato membro ha completato una valutazione dei rischi per le infrastrutture di rete 5G e ha trasmesso i risultati alla Commissione e all’ENISA, l’Agenzia dell’UE per la cybersicurezza. Le valutazioni nazionali dei rischi si sono concentrate in particolare sulle principali minacce cui sono esposte le reti 5G, come pure sugli autori di tali minacce, sulle risorse 5G sensibili e sulle pertinenti vulnerabilità, sia di natura tecnica che di altro tipo, come quelle potenzialmente derivanti dalla catena di approvvigionamento del 5G, in linea con la raccomandazione della Commissione.

Tag: ,

Categoria: Archivio notizie

Su