Dire che il 5G comporti, in quanto nuova tecnologia, dei problemi di sicurezza è fuorviante e sciocco. Bisogna uscire dai luoghi comuni ed entrare nel merito, perché per trovare le soluzioni corrette nel campo della cybersecurity bisogna mettere prima a fuoco i problemi.
Il 5G non è la semplice evoluzione del 4G che stiamo ora utilizzando, è un salto di paradigma tecnologico, che apre nuovi scenari, nei quali si apriranno nuovi modelli di business e si svilupperanno nuovi servizi, che cambieranno il modo di vivere e muoversi delle persone, ed il modo di lavorare e produrre nei nuovi mercati verticali. Il 5G è la tecnologia per costruire le architetture di rete sulle quali funzionerà l’Internet of Things, l’Internet of Vehicles, le Smart Factory, Industria 4.0, e molte altre nuove applicazioni.
Le Smart City del futuro, le cosiddette città intelligenti, si basano sull’abilitazione di Massive Internet of Things, che permettono applicazioni come sensori di traffico e servizi da veicoli ad infrastrutture. Si tratta di un mondo di nuove opportunità che ora nemmeno possiamo immaginare, perché sarà la tecnologia di rete a rendere disponibili nuove opportunità e a stimolare la ricerca e l’invenzione di nuove applicazioni. Non possiamo prevedere quanto e come queste cambieranno l’economia e la società del futuro. Queste tecnologie presentano ovviamente intuitivi problemi di sicurezza, e necessità di protezione da eventuali attacchi degli hacker, che aumentano con l’aumentare dei dispositivi connessi in rete.
È stimato che entro il 2022 il numero dei dispositivi collegati alle reti mobili passerà dagli attuali 9 miliardi ad oltre 12 miliardi e grazie a rete wireless e ai dispositivi mobili il traffico globale crescerà a circa 77,5 exabyte al mese. Per abilitare la connessione di dispositivi wireless e dei sensori nell’architettura IoT servirà una maggiore velocità di connessione, che si otterrà integrando più modalità di accesso, di gran lunga superiore rispetto al 4G. Si amplierà così anche la superficie d’attacco legata ai dispositivi interconnessi alla rete. Il sistema 5G si integra con l’evoluzione dei sistemi di comunicazione mobile 4G e quindi l’architettura di sicurezza 5G è progettata per integrare le funzionalità equivalenti del 4G, alle quali si aggiungeranno le funzioni necessarie a fronteggiare altre minacce, come i possibili attacchi a interfacce radio, rete di segnalazione, interfacce utente, mascheramento, privacy, man-in-the-middle, ecc.
La resilienza del 5G agli attacchi informatici è realizzata da diverse funzioni complementari perché l’architettura è pensata attorno al concetto di resilienza, attraverso la suddivisioni in sotto-reti isola per isolare alcuni gruppi della rete da altre funzioni. In questo modo un’organizzazione di pubblica sicurezza può utilizzare una rete mobile dedicata completa ed in modo esclusivo. L’uso esclusivo da parte dei dispositivi mobili dello spettro esclusivo concesso su base licenza offre un potente livello aggiuntivo di protezione da intercettazioni sul traffico dati, voce e video.
Le reti 5G sostituiranno nella loro evoluzione i meccanismi di sicurezza già in campo con misure di sicurezza dinamiche, che saranno implementate dai sistemi basati sull’intelligenza artificiale per rispondere ad una nuova generazione di attacchi “zero day” su più livelli. La rete 5G è dunque pensata per nuovi scenari di cybersecurity, offrendo maggiore protezione e resilienza, ed il problema non è dunque il 5G in sé, perché le nuove soluzioni architetturali verticali permettono di arginare meglio le nuove potenziali minacce di cybercrime. Tuttavia, poiché le reti diventano più complesse, ci saranno nuove vulnerabilità e nuove minacce che alzeranno l’asticella della sfida della sicurezza.
Per standardizzare i vari aspetti delle tecnologie 5G e definirne l’architettura sono stati attivate a livello internazionale diverse organizzazioni standard, ed il vero lavoro sulla cybersecurity del 5G viene svolto in questi gruppi di standardizzazione, dove vengono armonizzate le soluzioni per evitare minacce e rendere robusti e resilienti agli attacchi degli hacker i protocolli e le architetture 5G core e radio. Gli standard includono miglioramenti per la crittografia, autenticazione, protezione dell’integrità, privacy e disponibilità della rete, perché la sicurezza è un valore essenziale per la commercializzazione delle reti 5G in tutto il mondo. Quindi parlare in modo generico di assenza di sicurezza sulla rete 5G è per lo meno inappropriato, essendo stata indicata la cybersecurity come priorità per gli standard europei.
Dove stanno dunque le criticità che ci preoccupano tanto? Fondamentalmente ci sono due problematiche serie su cui riflettere. La prima è la protezione delle infrastrutture critiche industriali e legate alla fornitura dei servizi pubblici, che dipende fortemente dalle reti di telecomunicazioni. Le interconnessioni tra le infrastrutture critiche possono causare un effetto domino poiché le reti elettriche, i trasporti e le telecomunicazioni sono mutualmente interdipendenti, a tal punto che il grado di interconnessione ha un effetto sulla resilienza delle infrastrutture stesse. Se ne collassa una le conseguenze ricadono inevitabilmente sulle altre, e sulla capacità di autoprotezione. Ne consegue che un attacco mirato che le colpisse con successo nei punti critici potrebbe mettere in ginocchio il Paese, al pari di un’efficace azione di guerra.
È bene avere ben chiaro che la cybersecurity della rete 5G, che è l’infrastruttura critica per sua natura interconnessa a tutte le altre fondamentali infrastrutture del Paese, è indispensabile per garantire la sicurezza nazionale. Come ho provato a spiegare però i rischi per la sicurezza non sono relativi al 5G come standard, ma sono dovuti al fatto che la sua implementazione avviene con apparati la cui gestione e conoscenza tecnica (e di manutenzione) è nelle mani del fornitore. Questa è la seconda criticità di cui dobbiamo preoccuparci, che diventa particolarmente inquietante se osservata insieme alla prima. L’operatore delle telecomunicazioni non ha infatti il pieno controllo della infrastrutture poiché, a parte la componente radio delle antenne, la rete 5G è software defined network con le funzioni virtualizzate come nel cloud. Il software-defined networking (SDN) è un’architettura di rete agile, progettata per aiutare le organizzazioni a tenere il passo con la natura dinamica delle applicazioni odierne. Separa la gestione della rete dall’infrastruttura di rete sottostante, consentendo agli amministratori di adattare dinamicamente il flusso di traffico dell’intera rete, per soddisfare le esigenze in continuo cambiamento. Il software-defined networking mira a ridurre la complessità delle reti definite staticamente, automatizzare le funzioni di rete, accelerare l’implementazione di applicazioni e servizi e semplificare il provisioning e la gestione delle risorse di rete. I dati sensibili degli utenti sono lì, in data base e transitano nei vari livelli di rete. Perché non siano a rischio bisogna avere il pieno controllo della rete. Ecco perché il timore espresso nella recente relazione del Copasir è a mio avviso pienamente condivisibile.
In Gran Bretagna il governo ha istituito un laboratorio di certificazione degli apparati dei costruttori 5G cinesi prima che possano essere accettati nella rete nazionale. Per le backdoor Huawei individuate è stato richiesto che vengano eliminate, ma al momento la richiesta è stata disattesa dal fornitore, con la giustificazione che servirebbero alla manutenzione del sistema. In questo modo Huawei, per cui anche la Repubblica Popolare Cinese, può accedere direttamente all’infrastruttura di rete. Accettare questa condizione equivale a consegnare le chiavi di casa al vicino, sperando che non abbia (e non maturi in futuro) delle cattive intenzioni.
Il problema dunque non è lo standard, e non sono le architetture di rete, ma chi costruisce e chi veramente detiene il controllo nell’esercizio della rete 5G, dal momento che gli operatori delle Teleco non hanno la completa conoscenza e visibilità di cosa si può annidare nel software degli elementi di rete 5G. È chiaro a tutti i Paesi europei che l’evoluzione delle comunicazioni alla tecnologia 5G sarà ineludibile per implementare le architetture Iot, Smart City e Smart Factory, nello scenario di Industria 4.0.
Si stima che a livello mondiale il 5G avrà un fatturato di 225 miliardi di euro già nel 2025, ed il trend sarà inevitabilmente crescente. Dunque il 5G è un asset chiave per garantire lo sviluppo industriale e perché l’Italia, e tutta l’Europa, possano competere nel mercato globale. Al tempo stesso la sua sicurezza è fondamentale per garantire l’autonomia strategica e la sicurezza del Paese e dell’Unione.
Dunque: che fare? In estrema sintesi ci sono due alternative possibili tra cui scegliere: adottare la tecnologia cinese, che è quella tecnologicamente più avanzata, accettandone i rischi annessi e connessi, o non farlo e ripiegare su una tecnologia occidentale, più costosa, tecnologicamente più arretrata, ma più sicura. Gli operatori delle Telco non hanno un problema reale sul costo maggiore della tecnologia occidentale, che alla fine si scarica comunque nella tariffa all’utenza, ma sostengono che la ricerca tecnologica cinese nel campo del 5G sia molto più avanzata della concorrenza, e che allo stato attuale la seconda opzione comporti una conseguenza di minore efficienza del sistema. Se così fosse questo comporterebbe una minore competitività del sistema Paese rispetto a chi decide di implementare la propria rete 5G con tecnologia cinese. Se questa fosse la decisione solitaria potrebbe essere penalizzante per il Paese che la prende. Se invece fosse l’Unione Europea a decidere di investire risorse comunitarie per recuperare il ritardo tecnologico della tecnologia europea, per poi adottarla in tutta l’Unione, sarebbe possibile coniugare sicurezza e competitività.
Attualmente il fornitore europeo ed occidentale che ha gli standard tecnologici più vicini a quelli cinesi pare che sia l’azienda scandinava Ericsson, che è uscita anni fa dal mercato dei dispositivi device per concentrare i propri sforzi sulle tecnologie di rete. Tuttavia per sostenere la competizione con i giganti cinesi bisognerebbe competere alla pari. La normativa europea di tutela del mercato e della libera concorrenza, che impedisce gli aiuti di Stato, non mette un produttore europeo nelle condizioni di un’impresa come Huawei, che è fortemente legata alla Repubblica Popolare Cinese. Pur essendo orgogliosa di essere una società privata, Huawei è stata fondata nel 1987 da Ren Zhengfei, un veterano del corpo di ingegneria dell’esercito popolare di liberazione, e l’esercito cinese è stato sin dal principio un cliente cruciale per la giovane società. Senza una politica pubblica, senza il sostegno dello Stato, oggi Huawei non sarebbe quello che è, e l’importante strumento strategico che rappresenta per la Cina. Ecco perché la questione del 5G è più complessa ed enormemente più rilevante di quel che appare se la si guarda solamente con gli occhiali della cybersecurity. Non basta adottare la decisione politica escludere Huawei dalla costruzione delle reti 5G italiane. Anzi, senza una politica condivisa sul piano europeo per la costruzione di un’alternativa adeguata questa rischia di essere una scelta autolesionista. Ma se la politica europea, anziché chiudersi in ottusi sovranismi di facciata, comprenderà la portata e la complessità della sfida che si sta giocando, l’Unione Europea potrà conciliare sicurezza e sviluppo, investendo su se stessa.
