Strah od rizičnih dobavljača s potporom države i softvera s "ulazom" za upade hakera
Objavljeno 21. listopada, 2019.
Tehnologija za koju se vjeruje da bi u 2025. godini mogla omogućiti prihod od 225 milijardi eura diljem svijeta, a na temelju koje bi se trebala dovršiti i temeljita digitalna transformacija gospodarstva i cjelokupnog društva Europske unije, sa sobom, očekivano, donosi i velike sigurnosne rizike. Riječ je o mreži pete generacije, poznatijoj kao 5G, u kontekstu koje su države članice EU-a, uz potporu Europske komisije i Europske agencije za kibersigurnost sredinom prošlog tjedna objavile službeno izvješće o usklađenoj procjeni rizika, čime je napravljen važan korak prema provedbi preporuke Europske komisije donesene u ožujku 2019. vezane upravo uz sigurnost 5G mreža na razini Unije. Budući da će 5G mreže izravno utjecati na milijarde povezanih objekata i sustava, uključujući, naravno, i sektore poput energetike, prijevoza, bankarstva, industrije i zdravstva, važno je zajamčiti prevenciju i sigurnost, zbog čega se i cijelo izvješće temelji na rezultatima nacionalnih procjena rizika u području kibersigurnosti u svim članicama EU-a, a uz moguće glavne prijetnje i slabosti infrastrukture ističu se i akteri koji ih mogu potaknuti.
Dok se izazovi i rizici u izvješću odnose prije svega na ključne inovacije u 5G tehnologiji, poput sigurnosnih nedostataka brojnih softvera, usluga i aplikacija koje omogućava ta tehnologija, smatra se da velika ugroza dolazi i od dobavljača zaduženih za izgradnju i funkcionalnost 5G mreža. U kontekstu softvera, na kojima se 5G mreže sve više temelje, opasnost tako dolazi s više potencijalnih ulaznih točaka za napadače, jer neoptimalni postupci razvoja softvera kod dobavljača omogućavaju akterima prijetnji ugradnju zlonamjernih "stražnjih ulaza" u proizvode, zbog čega određeni dijelovi mrežne opreme ili funkcije postaju osjetljivi - poput baznih stanica ili funkcija tehničkog upravljanja mrežama. Ovdje se spominje i rizik zbog ovisnosti operatora pokretnih mreža o dobavljačima, jer se zbog tog nepovoljnog odnosa napadačima također može omogućiti poveći broj načina "hakerskih" napada, a, primjerice, trgovački propust ili veći nesporazum s dobavljačima povećava mogućnost prekida opskrbe i disfunkcionalnost mreže.
No možda i najproblematičnija činjenica u izvješću dolazi u kategoriji potencijalnih napadača, jer se kao najvjerojatniji i najozbiljniji akteri prijetnji 5G mreži Europske unije ističu oni iz trećih zemalja, oni koji imaju potporu neke države, kao i rizični dobavljači na koje možda utječe upravo treća zemlja. Ovdje se zasigurno indirektno spominje Kina, odnosno kineski tehnološki div Huawei, koji ima potporu te države, a kao jedan od predvodnika 5G tehnologije u svijetu postaje i potencijalni graditelj mreže nove generacije diljem Europske unije. Podsjetimo, Sjedinjene Američke Države sredinom su svibnja zabranile domaćim tvrtkama suradnju s dobavljačima koji čine opasnost za nacionalnu sigurnost, među kojima se pronašao i Huawei, a iako Europska unija nije odlučila poduzeti takav drastičan korak, ostala je oprezna, što dokazuje i samo izvješće. Naime, u izvješću stoji kako će u procjeni potencijalne izloženosti napadima važnu ulogu igrati i profili rizičnosti pojedinih dobavljača, odnosno vjerojatnost da na tog dobavljača utječe treća zemlja, a vjeruje se i da će prijetnje dostupnosti i integritetu mreža postati velik sigurnosni problem, jer činjenica da će 5G mreže postati temelj brojnih usluga i aplikacija upućuje na to kako može doći do brojnih prijetnji povezanih s povjerljivošću i privatnošću korisnika diljem EU-a.
Zbog svega toga izvješće upozorava da "nova sigurnosna paradigma" nalaže ponovno ocjenjivanje aktualnih političkih i sigurnosnih okvira kako bi u informacijsko-tehnološkom sektoru svaka članica poduzela potrebna mjere za smanjenje kibersigurnosnih rizika. Za kraj je potrebno istaknuti kako predstavnici država članica EU.a, kao i predstavnici Europske komisije i Europske agencije za kibersigurnost, do kraja ove godine trebaju postići dogovor o mjerama za smanjenje utvrđenih kibersigurnosnih rizika na nacionalnoj razini i razini EU-a, a do 1. listopada 2020. očekuju se i detaljnije procjene učinaka Preporuke o kibersigurnosti 5G mreža.
Marko Mandić
EU, za razliku od SAD-a, nije zabranio suradnju s tvrtkom Hauwei, ali je ipak na oprezu