EUs koordinerte risikovurdering av sikkerheten i 5G-nett
EU coordinated risk assessment of the cybersecurity of 5G networks. Report of 9 October 2019 from the NIS Cooperation Group.
Bakgrunn
BAKGRUNN (fra Kommisjonens pressemelding 9.10.2019)
Ny rapport fra medlemslandene om EU's koordinerede risikovurdering af sikkerheden i 5G-net
Pressemeddelelse fra Europa-Kommissionen og det finske formandskab for EU-Rådet
I dag har medlemslandene med støtte fra Europa-Kommissionen og Det Europæiske Agentur for Cybersikkerhed offentliggjort en rapport om EU's koordinerede risikovurdering af cybersikkerheden i femte generation (5G) af nettet. Dette store skridt sker i kølvandet på den henstilling, som Kommissionen vedtog i marts 2019 for at sikre et højt cybersikkerhedsniveau for 5G-net i hele EU.
5G-net er den fremtidige rygrad i vores stadig mere digitaliserede økonomi og samfund. Der er tale om milliarder af objekter og systemer, herunder i vigtige sektorer som energi, transport, bank- og sundhedsvæsen, samt industrielle kontrolsystemer, der indeholder følsomme oplysninger, og som understøtter sikkerhedssystemer. Det er derfor vigtigt at sikre, at 5G-nettet er sikkert og robust.
Rapporten er baseret på resultaterne af de nationale cybersikkerhedsrisikovurderinger i alle EU's medlemslande. Den kortlægger de vigtigste trusler og trusselsaktører, de mest følsomme aktiver, de primære sårbarheder (herunder tekniske og andre typer af sårbarheder) og en række strategiske risici.
Ud fra denne vurdering fastlægges der afbødende foranstaltninger, som kan anvendes på nationalt og europæisk plan.
De vigtigste resultater af EU's koordinerede risikovurdering
Rapporten peger på en række vigtige sikkerhedsmæssige udfordringer, som sandsynligvis vil dukke op eller blive mere fremtrædende i 5G-net i forhold til de nuværende net:
Disse sikkerhedsmæssige udfordringer er hovedsagelig knyttet til:
• centrale innovationer i 5G-teknologien (som også vil medføre en række specifikke sikkerhedsforbedringer), navnlig af den vigtige del af softwaren og det store udbud af tjenester og applikationer, der muliggøres af 5G
• leverandørernes rolle med hensyn til udbygning og drift af 5G-net og individuelle leverandørers grad af afhængighed.
Udrulningen af 5G-net forventes især at få følgende virkninger:
• Øget eksponering for angreb og flere potentielle adgangssteder for angribere: Eftersom 5G-net i stigende grad baseres på software, er der stadig større risiko for alvorlige sikkerhedsbrister, bl.a. som følge af leverandørernes svage softwareudviklingsprocesser. Det kan også blive lettere for trusselsaktører at indsætte bagdøre i produkter og gøre dem sværere at opdage.
• På grund af ny funktioner og nye egenskaber i 5G-netarkitekturen bliver visse dele af netudstyret eller ‑funktionerne mere følsomme, f.eks. basisstationer eller centrale tekniske netforvaltningsfunktioner.
• Øget risikoeksponering som følge af mobilnetoperatørernes afhængighed af deres leverandører . Det vil også kunne føre til et større antal angrebsveje, der kan udnyttes af trusselsaktører, og øge den potentielle alvor af sådanne angreb. Blandt de forskellige potentielle aktører betragtes lande uden for EU og statsfinansierede grupper som de groveste og mest tilbøjelige til at angribe 5G-net.
• På baggrund af den øgede eksponering for angreb, der skyldes leverandører, vil den enkelte leverandørs risikoprofil blive særlig vigtig, herunder sandsynligheden for, at leverandøren udsættes for interferens fra et ikke-EU-land.
• Øget risici som følge af større afhængighed af leverandører: En stor afhængighed af en enkelt leverandør øger risikoen for en potentiel forsyningsafbrydelse, f.eks. hvis virksomheden går ned, og det forværrer også konsekvenserne heraf. Det forværrer samtidig de mulige konsekvenser af svagheder eller sårbarheder og af deres mulige udnyttelse af trusselsaktører, især når afhængigheden vedrører en leverandør, der udgør en høj risiko.
• Trusler mod nettenes tilgængelighed og integritet vil blive et stort sikkerhedsproblem: Eftersom 5G-net ventes at blive rygraden i mange kritiske It-applikationer, vil nettenes integritet og tilgængelighed blive vigtige nationale sikkerhedsspørgsmål og en stor sikkerhedsmæssig udfordring set ud fra et EU-perspektiv. Dertil kommer spørgsmål som fortrolighed og trusler mod privatlivets fred.
Sammen skaber disse udfordringer et nyt sikkerhedsparadigme, der gør det nødvendigt at revurdere den nuværende politiske og sikkerhedsmæssige ramme, der gælder for sektoren og dens økosystem. Det er også vigtigt, at medlemsstaterne træffer de nødvendige afbødende foranstaltninger.
Trusselsbilledet for Det Europæiske Agentur for Cybersikkerhed:
Som supplement til medlemsstaternes rapport er Det Europæiske Agentur for Cybersikkerhed ved at lægge sidste hånd på en specifik kortlægning af trusselsbilledet i forbindelse med 5G-net, som nærmere beskriver visse tekniske aspekter, der er omfattet af rapporten.
De næste skridt
Inden den 31. december 2019 bør samarbejdsgruppen nå til enighed om en værktøjskasse med afbødningsforanstaltninger til at håndtere de udpegede cybersikkerhedsrisici på nationalt og EU-plan.
Inden den 1. oktober 2020 bør medlemsstaterne i samarbejde med Kommissionen vurdere virkningerne af henstillingen med henblik på at fastslå, om der er behov for yderligere tiltag. Vurderingen bør tage hensyn til resultatet af den koordinerede EU-risikovurdering og af effektiviteten af foranstaltningerne.
Baggrund
Med Det Europæiske Råd i ryggen vedtog Kommissionen den 26. marts 2019 en henstilling om cybersikkerheden i 5G-net, hvori medlemslandene opfordres til at gennemføre nationale risikovurderinger og gennemgå nationale foranstaltninger og samarbejde på EU-plan om en koordineret risikovurdering og en fælles værktøjskasse med afhjælpende foranstaltninger.
På nationalt plan har hvert medlemsland gennemført en national risikovurdering af 5G-netinfrastrukturen og sendt resultaterne til Kommissionen og ENISA, som er EU's cybersikkerhedsagentur. De nationale risikovurderinger gennemgik navnlig de største trusler og trusselsaktører, der påvirker 5G-net, følsomme 5G-aktiver samt relevante sårbarheder, herunder både tekniske og andre former for sårbarheder, såsom dem, der kan opstå som følge af 5G-forsyningskæden, i overensstemmelse med Kommissionens henstilling.
IP/19/6049
Ny rapport fra medlemslandene om EU's koordinerede risikovurdering af sikkerheden i 5G-net
Pressemeddelelse fra Europa-Kommissionen og det finske formandskab for EU-Rådet
I dag har medlemslandene med støtte fra Europa-Kommissionen og Det Europæiske Agentur for Cybersikkerhed offentliggjort en rapport om EU's koordinerede risikovurdering af cybersikkerheden i femte generation (5G) af nettet. Dette store skridt sker i kølvandet på den henstilling, som Kommissionen vedtog i marts 2019 for at sikre et højt cybersikkerhedsniveau for 5G-net i hele EU.
5G-net er den fremtidige rygrad i vores stadig mere digitaliserede økonomi og samfund. Der er tale om milliarder af objekter og systemer, herunder i vigtige sektorer som energi, transport, bank- og sundhedsvæsen, samt industrielle kontrolsystemer, der indeholder følsomme oplysninger, og som understøtter sikkerhedssystemer. Det er derfor vigtigt at sikre, at 5G-nettet er sikkert og robust.
Rapporten er baseret på resultaterne af de nationale cybersikkerhedsrisikovurderinger i alle EU's medlemslande. Den kortlægger de vigtigste trusler og trusselsaktører, de mest følsomme aktiver, de primære sårbarheder (herunder tekniske og andre typer af sårbarheder) og en række strategiske risici.
Ud fra denne vurdering fastlægges der afbødende foranstaltninger, som kan anvendes på nationalt og europæisk plan.
De vigtigste resultater af EU's koordinerede risikovurdering
Rapporten peger på en række vigtige sikkerhedsmæssige udfordringer, som sandsynligvis vil dukke op eller blive mere fremtrædende i 5G-net i forhold til de nuværende net:
Disse sikkerhedsmæssige udfordringer er hovedsagelig knyttet til:
• centrale innovationer i 5G-teknologien (som også vil medføre en række specifikke sikkerhedsforbedringer), navnlig af den vigtige del af softwaren og det store udbud af tjenester og applikationer, der muliggøres af 5G
• leverandørernes rolle med hensyn til udbygning og drift af 5G-net og individuelle leverandørers grad af afhængighed.
Udrulningen af 5G-net forventes især at få følgende virkninger:
• Øget eksponering for angreb og flere potentielle adgangssteder for angribere: Eftersom 5G-net i stigende grad baseres på software, er der stadig større risiko for alvorlige sikkerhedsbrister, bl.a. som følge af leverandørernes svage softwareudviklingsprocesser. Det kan også blive lettere for trusselsaktører at indsætte bagdøre i produkter og gøre dem sværere at opdage.
• På grund af ny funktioner og nye egenskaber i 5G-netarkitekturen bliver visse dele af netudstyret eller ‑funktionerne mere følsomme, f.eks. basisstationer eller centrale tekniske netforvaltningsfunktioner.
• Øget risikoeksponering som følge af mobilnetoperatørernes afhængighed af deres leverandører . Det vil også kunne føre til et større antal angrebsveje, der kan udnyttes af trusselsaktører, og øge den potentielle alvor af sådanne angreb. Blandt de forskellige potentielle aktører betragtes lande uden for EU og statsfinansierede grupper som de groveste og mest tilbøjelige til at angribe 5G-net.
• På baggrund af den øgede eksponering for angreb, der skyldes leverandører, vil den enkelte leverandørs risikoprofil blive særlig vigtig, herunder sandsynligheden for, at leverandøren udsættes for interferens fra et ikke-EU-land.
• Øget risici som følge af større afhængighed af leverandører: En stor afhængighed af en enkelt leverandør øger risikoen for en potentiel forsyningsafbrydelse, f.eks. hvis virksomheden går ned, og det forværrer også konsekvenserne heraf. Det forværrer samtidig de mulige konsekvenser af svagheder eller sårbarheder og af deres mulige udnyttelse af trusselsaktører, især når afhængigheden vedrører en leverandør, der udgør en høj risiko.
• Trusler mod nettenes tilgængelighed og integritet vil blive et stort sikkerhedsproblem: Eftersom 5G-net ventes at blive rygraden i mange kritiske It-applikationer, vil nettenes integritet og tilgængelighed blive vigtige nationale sikkerhedsspørgsmål og en stor sikkerhedsmæssig udfordring set ud fra et EU-perspektiv. Dertil kommer spørgsmål som fortrolighed og trusler mod privatlivets fred.
Sammen skaber disse udfordringer et nyt sikkerhedsparadigme, der gør det nødvendigt at revurdere den nuværende politiske og sikkerhedsmæssige ramme, der gælder for sektoren og dens økosystem. Det er også vigtigt, at medlemsstaterne træffer de nødvendige afbødende foranstaltninger.
Trusselsbilledet for Det Europæiske Agentur for Cybersikkerhed:
Som supplement til medlemsstaternes rapport er Det Europæiske Agentur for Cybersikkerhed ved at lægge sidste hånd på en specifik kortlægning af trusselsbilledet i forbindelse med 5G-net, som nærmere beskriver visse tekniske aspekter, der er omfattet af rapporten.
De næste skridt
Inden den 31. december 2019 bør samarbejdsgruppen nå til enighed om en værktøjskasse med afbødningsforanstaltninger til at håndtere de udpegede cybersikkerhedsrisici på nationalt og EU-plan.
Inden den 1. oktober 2020 bør medlemsstaterne i samarbejde med Kommissionen vurdere virkningerne af henstillingen med henblik på at fastslå, om der er behov for yderligere tiltag. Vurderingen bør tage hensyn til resultatet af den koordinerede EU-risikovurdering og af effektiviteten af foranstaltningerne.
Baggrund
Med Det Europæiske Råd i ryggen vedtog Kommissionen den 26. marts 2019 en henstilling om cybersikkerheden i 5G-net, hvori medlemslandene opfordres til at gennemføre nationale risikovurderinger og gennemgå nationale foranstaltninger og samarbejde på EU-plan om en koordineret risikovurdering og en fælles værktøjskasse med afhjælpende foranstaltninger.
På nationalt plan har hvert medlemsland gennemført en national risikovurdering af 5G-netinfrastrukturen og sendt resultaterne til Kommissionen og ENISA, som er EU's cybersikkerhedsagentur. De nationale risikovurderinger gennemgik navnlig de største trusler og trusselsaktører, der påvirker 5G-net, følsomme 5G-aktiver samt relevante sårbarheder, herunder både tekniske og andre former for sårbarheder, såsom dem, der kan opstå som følge af 5G-forsyningskæden, i overensstemmelse med Kommissionens henstilling.
IP/19/6049