Il 5G è smart, ora dobbiamo renderlo sicuro

Dalle smart city alle smart car, fino alle smart factory, il futuro sarà costruito su microchip onnipresenti collegati da reti wireless. La tecnologia di quinta generazione (5G) promette di portare l’infrastruttura wireless ad alta velocità e bassa latenza necessaria per l’era “smart”. Secondo alcune stime, nei prossimi cinque anni la metà di tutto il traffico dati mondiale sarà generato non da persone, ma da dispositivi informatici connessi che non richiedono alcun intervento umano.

Per passare dalla promessa alla realtà, tuttavia, è necessario che le reti di connessione siano sicure. Un nuovo rapporto Brookings esamina la promessa del 5G, le sue sfide per la sicurezza informatica e le decisioni politiche necessarie per realizzarlo. Il rapporto conclude che, mentre la Cina e l’Europa portano avanti i loro sforzi per il 5G, un’enfasi interna americana sulla sicurezza delle reti accelererà l’adozione del 5G e creerà un vantaggio differenziato per le aziende statunitensi in patria e all’estero. Questi risultati possono essere raggiunti attraverso l’implementazione di tecniche di cybersecurity ben note, un programma di supervisione federale che eviti la microgestione normativa a favore di una revisione leggera ma frequente delle attività di mitigazione del rischio informatico del 5G e finanziamenti governativi adeguati.

A che punto siamo

A partire da una mezza dozzina di anni fa, è emersa la preoccupazione che gli Stati Uniti stessero perdendo la “corsa al 5G”, soprattutto in relazione alla rapida realizzazione e adozione da parte della Cina. A ciò si accompagnava la preoccupazione che la cinese Huawei, il più grande fornitore di infrastrutture di rete al mondo, potesse nascondere vulnerabilità di sicurezza in tali infrastrutture.

Nonostante gli avvertimenti del governo statunitense in merito a tali preoccupazioni, alcuni operatori di reti wireless nazionali – in genere piccole aziende locali – hanno installato apparecchiature Huawei. Molte di queste aziende non disponevano di adeguate capacità di cybersecurity e di gestione del rischio della catena di fornitura. Ciononostante, queste strutture sono collegate alla rete wireless nazionale, creando così un potenziale percorso di intrusione informatica. Il Congresso ha infine vietato l’uso di apparecchiature Huawei nelle reti nazionali che ricevono il sostegno federale e ha stanziato miliardi di dollari per rimborsare le aziende che hanno ritirato le apparecchiature.

In seguito, il Congresso ha stanziato 1,5 miliardi di dollari “per stimolare il passaggio a tecnologie wireless basate su software e ad architettura aperta”. Non solo un tale investimento avrebbe stimolato la crescita economica nazionale, ma si sperava anche che tali sforzi avrebbero ridotto la dipendenza da Huawei. La sicurezza di queste reti ad architettura aperta e il loro utilizzo di componenti software potenzialmente insicuri, pur operando in un mondo intrinsecamente insicuro, è la sfida dell’era 5G (e continuerà nelle successive reti “next G”).

Il paradosso informatico del 5G

Le reti wireless di quinta generazione sono un paradosso: mentre migliorano l’efficienza e la capacità dell’infrastruttura di comunicazione per consentire una nuova generazione di servizi, introducono anche nuove vulnerabilità di sicurezza che minacciano sia le reti che coloro che si affidano alla loro connettività.

La prima vulnerabilità del 5G consiste nel fatto che le funzioni di rete, un tempo eseguite da hardware appositamente costruito, vengono ora virtualizzate in software che, come è sempre stato, sono violabili. Costruire una rete su un software che gira su computer generici aumenta la funzionalità e riduce i costi, ma allo stesso tempo introduce nuove vulnerabilità. Le reti precedenti funzionavano su apparecchiature proprietarie che utilizzavano software proprietario che offriva una protezione mirata contro gli attacchi. Il passaggio di un maggior numero di funzioni a un software hackerabile, disaggregato da un dispositivo di rete appositamente costruito, ha creato nuovi percorsi di attacco alle reti 5G.

Il passaggio alla virtualizzazione di molte funzioni di rete precedentemente svolte dall’hardware ha spezzato la morsa dei fornitori tradizionali di apparecchiature di rete. Un vantaggio per la cybersicurezza è la creazione di alternative all’hardware cinese. Tuttavia, anche questo comporta il paradosso che tale diversità di fornitori rappresenta un ulteriore aumento del numero di traiettorie di attacco nelle reti.

Per facilitare la diversità dei fornitori e garantire al contempo l’interoperabilità dei componenti di un universo di fornitori in espansione, gli operatori di rete a livello globale hanno sviluppato il protocollo Open Radio Access Network (ORAN). Esiste un gruppo di lavoro ORAN sulla sicurezza della rete, ma l’adozione dei suoi risultati sarà volontaria. Come conclude il “Report on the Cybersecurity of Open Radio Access Networks” dell’Unione Europea, sebbene la diversificazione dei fornitori comporti dei vantaggi in termini di sicurezza, “introducendo un nuovo approccio, nuove interfacce e nuovi tipi di componenti RAN potenzialmente provenienti da più fornitori, Open RAN accentuerebbe una serie di rischi per la sicurezza del 5G ed espanderebbe la superficie di attacco”. Le criticità risiedono “nelle giunture”, dove la proprietà del rischio informatico è mal definita e sottovalutata, mentre i nuovi operatori del mercato si contendono il primato in base a funzioni, prestazioni e costi.

 

Mancanza di controllo

Come dimostrano queste nuove vulnerabilità, la supervisione formale dell’implementazione dello standard 5G e dei suoi protocolli ORAN da parte delle aziende è scarsa. Non solo non c’è un’identificazione e un’assegnazione completa delle responsabilità di rischio inerenti al 5G, ma le reti sono anche libere di scegliere quali componenti di sicurezza intendono implementare.

La sicurezza della rete essenziale per l’era “intelligente”, ma costruita con software hackerabili provenienti da un insieme eterogeneo di fornitori, non dovrebbe essere una proposta volontaria. La sicurezza informatica a livello nazionale richiede una politica nazionale che stabilisca aspettative comuni per la sicurezza e il comportamento di tutte le reti 5G. Il fatto che si tratti di una sfida “a tutte le reti” è particolarmente vero a causa dell’interconnessione delle reti digitali, dove l’igiene informatica responsabile di una rete può essere annullata dalle decisioni meno responsabili di un’altra rete.

Le reti wireless 5G possono inaugurare una nuova era di capacità meravigliose che aiuteranno i consumatori, le aziende e le comunità. Possono contribuire a far crescere l’economia con nuovi prodotti esportabili e una maggiore produttività. Ma se non si riesce a garantirne la sicurezza, si rallenterà la diffusione, si ridurranno i segnali di richiesta dei casi d’uso, si comprometterà la capacità di proteggere la proprietà intellettuale, si ridurranno gli investimenti nel 5G e si esporranno le infrastrutture critiche a un maggiore rischio di incidenti catastrofici.

Sappiamo cosa fare

L’Agenzia per la sicurezza informatica e delle infrastrutture (Cybersecurity and Infrastructure Security Agency, CISA) del Dipartimento per la sicurezza interna (DHS) ha compiuto notevoli progressi per proteggere i sistemi federali e collaborare con i fornitori di infrastrutture. La CISA è responsabile della supervisione di 18 settori di infrastrutture critiche, tra cui le comunicazioni. Tuttavia, la CISA e il DHS non hanno un’autorità di applicazione significativa per imporre le aspettative di cybersicurezza sulle reti commerciali.

Il National Institute of Standards and Technology (NIST) del Dipartimento del Commercio ha svolto un lavoro pionieristico per sviluppare diversi framework per la promozione della sicurezza delle reti, lo sviluppo sicuro del software e la gestione del rischio della catena di fornitura informatica. Questi quadri ben concepiti si basano sull’implementazione volontaria da parte dell’industria, poiché il Dipartimento del Commercio non ha l’autorità normativa necessaria sulle reti di telecomunicazione.

Gli sforzi di CISA e NIST per far fronte al rischio informatico dimostrano che i professionisti del settore sanno cosa fare. La sfida risiede piuttosto nella governance del rischio informatico: chi decide, chi paga e chi attua la politica? La sicurezza informatica per le reti 5G inizia come una sfida di gestione. La tecnologia svolge un ruolo importante, ma le pratiche e le decisioni di gestione creano la prima linea di difesa. Ciò richiede l’implementazione prioritaria di standard noti e l’istituzione di meccanismi duraturi per garantire la sicurezza delle operazioni con un impegno continuo degli stakeholder per la cybersecurity.

Agendo da soli, né il governo né le singole aziende private possono affrontare le sfide di gestione informatica delle reti 5G. I processi governativi tradizionali sono troppo lenti e tendono a produrre regolamenti rigidi che sono antitetici alla realtà agile e in rapida evoluzione dell’innovazione digitale. Le reti e i loro fornitori, invece, sono costretti a produrre risultati finanziari in un mondo in cui il ritorno sugli investimenti informatici aziendali è relativamente basso e spesso non visibile. Di conseguenza, non c’è un esercizio mirato, proattivo, agile e forzato dell’autorità di regolamentazione sulle pratiche di sicurezza delle reti digitali commerciali, non ultime le vulnerabilità ampliate delle nuove funzioni 5G e l’emergente approccio multifornitore ORAN.

I diversi framework NIST forniscono la tabella di marcia generica per le azioni da intraprendere per proteggere la sicurezza della rete 5G. La sfida diventa come incentivare la responsabilità attiva della sicurezza da parte di più soggetti e implementare i framework al di fuori del tradizionale processo normativo sclerotico e rigido.

 

Un piano per una supervisione normativa agile

La definizione e l’applicazione di aspettative uniformi per la sicurezza informatica del 5G è un processo in due parti. Si inizia con una dichiarazione politica secondo cui la cybersicurezza deve essere una premessa necessaria nella progettazione, nell’implementazione e nel funzionamento delle reti 5G, e non un ripensamento volontario. La seconda parte è l’istituzione di un processo di supervisione pubblico-privato per sviluppare aspettative di sicurezza agili e applicabili per affrontare le aree di rischio informatico per le quali gli incentivi di mercato non sono allineati con gli investimenti necessari per la riduzione del rischio.

Il modello normativo di comando e controllo precedentemente applicato alle reti di telecomunicazione non è adatto – anzi, è controproducente – alla rapida sfida informatica dell’era di Internet. Al suo posto, il governo dovrebbe implementare un processo multistakeholder pubblico/privato per la definizione di standard informatici che saranno eseguiti dalle aziende e fatti rispettare dal governo.

La metodologia per la definizione di tali standard informatici dovrebbe imitare il processo di sviluppo degli standard tecnici dell’industria. L’evoluzione dall’1G al 5G, e ora lo sviluppo in corso del 6G, dimostra un processo di successo che si adatta costantemente alle nuove minacce e realtà tecnologiche.

Nell’ambito di tale processo di definizione degli standard, l’autorità di regolamentazione identificherebbe un problema e convocherebbe un’industria/organismo pubblico per sviluppare un approccio standardizzato per mitigare il problema. Il processo di correzione inizierebbe con la produzione da parte dell’agenzia appropriata di un rapporto dettagliato sui problemi, l’identificazione di eventuali incentivi di mercato mancanti per affrontare i problemi e lo sviluppo di rimedi affermativi. Questi risultati verrebbero sottoposti a un gruppo multistakeholder di rappresentanti dell’industria, del governo e della società civile, con un tempo stabilito per la raccomandazione di uno standard comportamentale. L’agenzia esaminerebbe, accetterebbe o modificherebbe la proposta e, una volta accettata, sarebbe responsabile della sua applicazione. Questo approccio dovrebbe affrontare i problemi di rischio informatico a breve termine e al tempo stesso risolvere le lacune negli incentivi di mercato, restituendo, laddove possibile, la proprietà del rischio alle aziende coinvolte una volta che saranno emersi meccanismi di settore autosufficienti.

La responsabilità informatica richiede non solo un’adeguata supervisione normativa, ma anche un sostegno finanziario per l’attuazione universale di standard concordati. Poiché la sicurezza informatica del 5G è un problema che riguarda l’intera rete, presenta una classica sfida di mercato comune in cui tutti beneficiano di una riduzione del rischio informatico, ma nessuna azienda da sola può affrontare la sfida end-to-end. Internet è diventato un servizio universale negli Stati Uniti e la gestione del rischio informatico deve essere una responsabilità dell’intera nazione, la cui attuazione merita lo stesso impegno che il governo ha avuto per decenni nel sostenere la diffusione del servizio telefonico e di Internet nelle aree rurali ad alto costo unitario.

 

Il 5G deve essere sicuro

L’industria privata ha fatto un lavoro straordinario nello sviluppo di nuove reti wireless che portano sul mercato nuove capacità tecnologiche. Ora l’industria privata è impegnata a investire decine di miliardi di dollari per costruire reti 5G.

È sempre stato detto che non era la rete in sé a essere trasformativa, ma ciò che la rete consentiva. Le reti di quinta generazione saranno un fattore chiave per il ruolo che l’interazione macchina-macchina e l’intelligenza artificiale (AI) svolgeranno nella nostra smart economy. Le reti wireless saranno il cavallo di battaglia per collegare le macchine tra loro e i database all’intelligenza artificiale. Gli investimenti nelle città intelligenti, nelle aziende verticali intelligenti e nei servizi intelligenti per i consumatori, insieme all’IA, saranno altamente correlati alla nostra fiducia nelle reti che forniscono i dati essenziali per i processi.

Sono le reti a essere essenziali. Il futuro digitale sarà costruito sulle reti 5G. Questi percorsi devono essere sicuri.

Sappiamo cosa è necessario per proteggere le reti. Sappiamo che la sicurezza delle reti deve avere la priorità. Dobbiamo esigere che ogni rete sia in grado di soddisfare requisiti minimi di sicurezza e che il pubblico sostenga questi sforzi.

Dobbiamo concentrarci sui risultati e lavorare costantemente per creare meccanismi basati sul mercato per massimizzare la sicurezza, riducendo al minimo i rigidi interventi tecnici federali in materia di sicurezza informatica.

Il 5G è intelligente, ora rendiamolo sicuro.

(Questo articolo è stato pubblicato sul sito del think tank Brookings – traduzione di Formiche.net)