Cibersicurezza delle reti 5G: l'UE pubblica una relazione sulla sicurezza di Open RAN.

Cibersicurezza delle reti 5G: l'UE pubblica una relazione sulla sicurezza di Open RAN

11.05.2022 Commissione europea - Gli Stati membri dell'UE, con il sostegno della Commissione europea e dell'ENISA, l'Agenzia dell'UE per la cibersicurezza, hanno pubblicato oggi una relazione sulla cibersicurezza di Open RAN. Nei prossimi anni questo nuovo tipo di architettura di rete 5G fornirà modalità alternative di realizzazione della parte di accesso radio delle reti 5G basata su interfacce aperte. Ciò segna un altro importante passo avanti nel lavoro coordinato a livello dell'UE sulla cibersicurezza delle reti 5G, dimostrando una forte determinazione a continuare a rispondere congiuntamente alle sfide relative alla sicurezza delle reti 5G e a tenersi al passo con gli sviluppi della tecnologia e dell'architettura 5G.

I cittadini e le imprese dell'UE che utilizzano applicazioni avanzate e innovative abilitate dal 5G e le future generazioni di reti di comunicazione mobile dovrebbero beneficiare dei più elevati standard di sicurezza. Dando seguito al lavoro coordinato già svolto a livello dell'UE per rafforzare la sicurezza delle reti 5G con il pacchetto di strumenti dell'UE sulla cibersicurezza del 5G, gli Stati membri hanno analizzato le implicazioni per la sicurezza di Open RAN.

Margrethe Vestager, Vicepresidente esecutiva per Un'Europa pronta per l'era digitale, ha dichiarato: "Le nostre priorità e responsabilità comuni sono di assicurare la tempestiva diffusione delle reti 5G in Europa, garantendone nel contempo la sicurezza. Le architetture Open RAN creano nuove opportunità sul mercato, ma la relazione mostra che esse pongono anche importanti sfide in materia di sicurezza, soprattutto nel breve termine. Sarà importante che tutti i partecipanti dedichino tempo e attenzione sufficienti all'attenuazione di tali sfide, in modo da poter realizzare le promesse di Open RAN."

Thierry Breton, Commissario per il Mercato interno, ha dichiarato: "Con il lancio della rete 5G in tutta l'UE e la crescente dipendenza delle nostre economie dall'infrastruttura digitale, è più che mai importante garantire un livello elevato di sicurezza delle nostre reti di comunicazione. È ciò che abbiamo fatto con il pacchetto di strumenti per la cibersicurezza del 5G, ed è ciò che, insieme agli Stati membri, facciamo ora per Open RAN con questa nuova relazione. Non spetta alle autorità pubbliche scegliere una tecnologia, ma è nostra responsabilità valutare i rischi associati alle singole tecnologie. La relazione mostra che Open RAN crea una serie di opportunità, ma comporta anche importanti sfide in materia di sicurezza che rimangono irrisolte e che non possono essere sottovalutate. In nessun caso la potenziale diffusione di Open RAN nelle reti 5G europee dovrebbe portare a nuove vulnerabilità."

Guillaume Poupard, direttore generale dell'ANSSI, l'agenzia nazionale francese per la sicurezza informatica, ha dichiarato: "Dopo il pacchetto di strumenti dell'UE sulla cibersicurezza del 5G, questa relazione rappresenta un'altra pietra miliare nello sforzo del gruppo di cooperazione NIS di coordinare e attenuare i rischi per la sicurezza delle nostre reti 5G. Questa analisi approfondita della sicurezza di Open RAN contribuisce a garantire che il nostro approccio comune tenga il passo con le nuove tendenze e le relative sfide in materia di sicurezza. Continueremo a lavorare per affrontare congiuntamente tali sfide."

In base a quanto rilevato dalla relazione, Open RAN potrebbe offrire potenziali opportunità di sicurezza, purché siano soddisfatte determinate condizioni. Grazie a una maggiore interoperabilità tra i componenti RAN di diversi fornitori, Open RAN potrebbe consentire una maggiore diversificazione dei fornitori all'interno delle reti nella stessa area geografica. Ciò potrebbe contribuire a realizzare la raccomandazione indicata del pacchetto di strumenti dell'UE per il 5G, secondo cui ciascun operatore dovrebbe disporre di un'adeguata strategia multifornitore per evitare o limitare qualsiasi dipendenza significativa da un unico fornitore. Open RAN potrebbe inoltre contribuire ad aumentare la visibilità della rete grazie all'uso di interfacce e standard aperti, a ridurre gli errori umani attraverso una maggiore automazione e ad aumentare la flessibilità attraverso il ricorso alla virtualizzazione e a soluzioni basate sul cloud.

Tuttavia il concetto di Open RAN non ha ancora raggiunto la maturità necessaria e la cibersicurezza rimane una sfida importante. In particolare nel breve termine, Open RAN, aumentando la complessità delle reti, aggraverebbe una serie di rischi per la sicurezza, tra cui figurano una superficie di attacco più ampia e più punti di ingresso per i soggetti malintenzionati, un maggiore rischio di configurazione errata delle reti e potenziali impatti su altre funzioni di rete a causa della condivisione delle risorse. Nella relazione si osserva inoltre che le specifiche tecniche, come quelle elaborate dall'O-RAN Alliance, non offrono sufficiente maturità e sicurezza fin dalla progettazione. Open RAN potrebbe portare a nuove o maggiori dipendenze critiche, ad esempio nel settore dei componenti e del cloud.

Per attenuare tali rischi e sfruttare le potenziali opportunità di Open RAN, la relazione raccomanda una serie di azioni basate sul pacchetto di strumenti dell'UE per il 5G, in particolare:

  • utilizzare i poteri di regolamentazione al fine di poter esaminare i piani degli operatori mobili per la diffusione di Open RAN su larga scala e, se necessario, limitare, vietare e/o imporre requisiti o condizioni specifici per la fornitura, la diffusione su larga scala e il funzionamento delle apparecchiature di rete Open RAN;
  • rafforzare i controlli tecnici chiave, quali l'autenticazione e l'autorizzazione, e adattare la progettazione del monitoraggio a un ambiente modulare che preveda il controllo di ciascun componente;
  • valutare il profilo di rischio dei fornitori di Open RAN, dei fornitori esterni di servizi connessi a Open RAN, degli integratori di sistemi e dei fornitori di servizi/infrastrutture cloud, ed estendere a tali fornitori i controlli e le limitazioni imposti ai fornitori di servizi gestiti (MSP, Managed Service Providers);
  • colmare le carenze nello sviluppo delle specifiche tecniche: il processo dovrebbe rispettare i principi fondatori dell'Organizzazione mondiale del commercio (OMC)/Ostacoli tecnici agli scambi per l'elaborazione di norme internazionali [1] e dovrebbe affrontare le carenze in materia di sicurezza;
  • includere quanto prima i componenti di Open RAN nel futuro sistema di certificazione della cibersicurezza del 5G, attualmente in fase di sviluppo.

Per quanto riguarda la protezione e il consolidamento delle capacità dell'UE in questo mercato, dovrebbe essere mantenuta una regolamentazione tecnologicamente neutra per promuovere la concorrenza. In tale contesto i finanziamenti dell'UE e nazionali per la ricerca e l'innovazione nel 5G e nel 6G potrebbero essere utilizzati a sostegno delle opportunità per gli operatori dell'UE di competere in condizioni di parità. È importante inoltre affrontare le potenziali dipendenze o la mancanza di diversità non solo per quanto riguarda la RAN, ma nell'intera catena del valore della comunicazione ai fini della diversificazione dell'approvvigionamento.

Nel complesso la relazione raccomanda un approccio prudente al passaggio verso questa nuova architettura. Per la transizione da tecnologie esistenti e affidabili e la coesistenza con le stesse sono necessari tempo e risorse sufficienti per valutare in anticipo i rischi, attuare misure di attenuazione adeguate e definire chiaramente le responsabilità in caso di guasto o incidente.

Contesto

La tempestiva diffusione di reti 5G sicure è una priorità assoluta per l'Unione europea. Per contribuire a questo obiettivo, gli Stati membri dell'UE, con il sostegno della Commissione europea e dell'ENISA, hanno sviluppato un approccio concertato alla cibersicurezza delle reti 5G, attraverso il quale gli Stati membri dell'UE hanno valutato congiuntamente i principali rischi connessi alle reti 5G ("valutazione dei rischi coordinata a livello dell'UE") e hanno definito un approccio globale e basato sul rischio mediante il pacchetto di strumenti dell'UE per il 5G adottato nel gennaio 2020. Il pacchetto di strumenti dell'UE per il 5G raccomanda una serie di misure comuni di attenuazione dei rischi.

Il pacchetto di strumenti dell'UE per il 5G comprende misure strategiche e tecniche e azioni corrispondenti per rafforzarne l'efficacia. Tra le principali misure del pacchetto di strumenti per il 5G figurano il rafforzamento dei requisiti di sicurezza, la valutazione dei profili di rischio dei fornitori, l'applicazione delle restrizioni pertinenti per i fornitori considerati ad alto rischio, comprese le necessarie esclusioni per i principali asset considerati critici e sensibili (come le funzioni principali della rete) e la predisposizione di strategie per garantire la diversificazione dei fornitori ed evitare le dipendenze.

Per portare avanti e approfondire il processo di coordinamento dell'UE sulla cibersicurezza del 5G, la strategia dell'UE per la cibersicurezza del dicembre 2020 ha individuato tre obiettivi chiave: 1) garantire un'ulteriore convergenza negli approcci di attenuazione dei rischi in tutta l'UE, 2) sostenere lo scambio continuo di conoscenze e lo sviluppo di capacità e 3) promuovere la resilienza della catena di approvvigionamento e altri obiettivi strategici di sicurezza dell'UE.

Nell'ambito di questi obiettivi chiave il gruppo di cooperazione NIS continuerà a monitorare e valutare le questioni relative alle nuove tendenze e agli sviluppi nella catena di approvvigionamento del 5G. Poiché Open RAN rappresenta una tendenza di mercato nell'evoluzione delle architetture 5G e 6G, gli Stati membri hanno deciso di effettuare un'analisi approfondita delle sue implicazioni per la sicurezza al fine di integrare l'analisi coordinata dei rischi sul 5G.

Per ulteriori informazioni

Pacchetto di strumenti dell'UE sulla cibersicurezza del 5G

Gruppo di cooperazione NIS

[1] Considerando (2) del regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea.

Contenuto pubblico