La sicurezza end-to-end nelle reti 5G
I progressi tecnologici nella connettività creano ampie opportunità per la digitalizzazione di tutti i settori dell’economia, dell’industria, delle istituzioni governative, dei servizi pubblici e della vita quotidiana. Le infrastrutture e i servizi di comunicazione, come il 5G, promuovono una società sempre più interconnessa in cui i dati, le informazioni e i servizi migliorano notevolmente le nostre vite, risultando sempre più pervasivi e, come tali, acquisendo rilevanza e valore, dovendo essere disponibili con livelli di servizio, sicurezza e disponibilità adeguati.
L’avanzamento tecnologico ha trasformato radicalmente la nostra vita quotidiana, influenzando settori come il commercio, le transazioni finanziarie e, come evidenziato dal COVID-19, la gestione delle emergenze sanitarie.
Nel contesto della pandemia, la tecnologia ha svolto un ruolo cruciale nel limitare la diffusione del virus e mitigare l’impatto sulle nostre vite. L’utilizzo di strumenti tecnologici per il tracciamento dei contatti, la comunicazione online, il lavoro a distanza e la fornitura di servizi digitali hanno contribuito a mantenere un certo grado di normalità e connettività sociale durante i periodi di lockdown.
Tuttavia, è importante riconoscere che, nonostante i numerosi vantaggi, la dipendenza eccessiva dalla tecnologia può anche presentare sfide, come problemi di sicurezza informatica, privacy e la creazione di divari digitali tra coloro che hanno accesso alle risorse tecnologiche e coloro che non ne hanno. Pertanto, è cruciale bilanciare l’adozione della tecnologia con una riflessione critica sui suoi impatti sociali e individuali. Riusciamo inoltre ad immaginare quale può essere l’imminente futuro per le nostre abitudini, il sistema di pagamenti, le fabbriche, il gaming, la salute e l’industria, l’impatto sull’ambiente, i trasporti, la cultura e la riduzione del digital divide?
Il mondo si dirige verso una connettività senza limiti che ridefinisce il business e promuove un futuro sostenibile. Ma occorre garantire sicurezza e privacy.
Anche se gli standard 5G, come il 3GPP, definiscono caratteristiche di sicurezza maggiori rispetto alle generazioni precedenti, bisogna considerare che il contesto delle standardizzazioni è confinato a specifiche architetturali e di progettazione; fondamentali e determinanti, ma relativo a contesti non reali di produzione ed esercizio. Invece l’installazione e l’operatività dei sistemi avviene in un contesto live, complesso, con minacce in rapida evoluzione e soggetti malevoli sempre più motivati, attrezzati dal punto di vista tecnologico, spesso organizzati in team, globali o locali, con approcci eterogenei. Di conseguenza risulta fondamentale garantire una connettività end-to-end sicura e che tuteli la privacy per gli utenti finali attraverso un approccio sicuro by-design, rendendo la connettività e i servii fruibili all’utente finale, assicurando i livelli di integrità, confidenzialità e disponibilità richiesti e necessari.
Per garantire queste condizioni, è necessario che tutti gli attori della filiera mettano in atto pratiche di gestione dei rischi di sicurezza come parte integrante
- della ricerca e l’innovazione delle tecnologie e dei prodotti;
- della cultura del personale e delle organizzazioni;
- degli standard e le linee guida internazionali;
- del ciclo di vita dello sviluppo dei prodotti, inclusa la sicurezza della supply-chain;
- dell’installazione e gestione di tutti i prodotti delle reti mobili che forniscono il servizio end-to-end, ovvero dalla rete di accesso (RAN), al trasporto, alla CORE fino ai sistemi BSS e OSS delle corrette configurazioni dei sistemi;
- dell’esercizio dei sistemi;
- degli aggiornamenti necessari e tempestivi del software;
- dell’aggiornamento delle competenze degli addetti ai lavori.
L’obiettivo deve essere, per tutte le entità e organizzazioni coinvolte, quello di proteggere le reti di comunicazione e le risorse di rete salvaguardando il servizio per gli utenti finali a partire dai servizi e passando dai sistemi gestionali di rete OSS/BSS a quelli di CORE, da quelli di trasporto e di accesso, fino ad arrivare al terminale d’uso usato dall’utente.
Come sta evolvendo il settore delle telecomunicazioni: le istituzioni
Un approccio olistico e strategico è la prerogativa necessaria per definire un sistema regolatorio e un insieme di politiche, oltre che un requisito fondamentale per mitigare i rischi. Il 5G, e successivamente il 6G, abiliteranno connettività illimitata attraverso tecnologie avanzate su una piattaforma innovativa che necessiterà di adeguati livelli di security e privacy, il tutto per svariati casi d’uso.
Tuttavia, le reti aumenteranno progressivamente ma in maniera decisa la loro complessità: l’insieme degli elementi di una rete, dai dispositivi di accesso alla RAN, alla Core, al Cloud, all’Edge al OSS/BSS costituiranno un ecosistema complesso ed eterogeneo composto di molteplici elementi, di notevole valore e criticità, negli asset, nei contenuti e nei servizi. Per queste ragioni le istituzioni e i policy maker hanno mostrato da tempo una maggiore consapevolezza dei rischi annessi in relazione a:
- la sovranità degli Stati, intesa come effettiva e concreta autonomia da parte degli stessi su un numero anche ampio di competenze e funzioni. Questa prerogativa deriva dal fatto che reti e servizi di telecomunicazioni sono utilizzate e condivise, con adeguati controlli di sicurezza, sia per ambiti civili che mission and business critical, rappresentando di fatto dorsali strategiche;
- la governance dei principi etici e legali. Ogni nuovo scenario tecnologico introduce nuovi rischi, i quali richiedono una gestione specifica, senza la quale la tecnologia può rappresentare un veicolo di potenziali minacce;
- gli impatti politici e sociali, come avvenuto per controversie di voto, per proteste o movimenti sulle piattaforme di social networking.
Dal 2019 è risultata determinante la direzione guida, l’approccio strutturato, coordinato e comprensivo dell’Unione Europea attraverso misure tecniche e strategiche indirizzate attraverso il framework dell’EU 5G Toolbox [1] e il lavoro in itinere di ENISA. Coerentemente, l’Italia ha recepito le indicazioni dell’Unione Europea attraverso un quadro normativo che ha portato alla creazione dell’Agenzia per la Cybersecurity Nazionale (ACN) e, come conseguenza pratica, ad una forte collaborazione tra tutti gli attori (l’Operatore, il Vendor, numerosi gruppi di lavoro presso enti di standardizzazione e/o di diretta pertinenza, system integrator, associazioni di settore, le stesse agenzie di sicurezza) finalizzata a ridurre l’impatto sui rischi per i sistemi e i servizi di comunicazione.
L’esperienza dell’utente finale nelle reti 5G è definita dalla postura di sicurezza e privacy, dalle performance e dalla qualità della copertura del segnale delle reti in esercizio, non solamente quelle, statiche se vogliamo, definite in fase di standard, progettazione e rilascio. Come descritto in [2] dall’OCSE, per gestire la crescente complessità delle reti è necessario adottare un approccio olistico e strategico che accresca la sicurezza digitale delle infrastrutture di comunicazione, considerando l’intero esercizio del ciclo di vita delle stesse, dallo sviluppo degli standard all’installazione e operatività degli apparati di comunicazione nelle reti dell’operatore. Questo approccio dovrebbe:
- considerare l’intero ciclo di vita di tutti i prodotti e servizi su cui gli Operatori fanno affidamento per erogare servizi di connettività;
- raccogliere il contributo e interesse di tutti gli attori coinvolti nell’end-to-end;
- essere coordinato a livello nazionale e internazionale.
Il fine è di implementare una visione comprensiva e olistica che traguardi la sicurezza delle reti, la contestualizzazione di servizi di connettività, tutti alla base del corretto funzionamento del Sistema Paese. E’ necessario prendere in considerazione la robustezza della sicurezza delle reti installate e le mitigazioni dei rischi per tutte le fasi del ciclo di vita, o layers: gli standard, i prodotti e i relativi processi di sviluppo, il deployment delle reti e il loro esercizio. Complessivamente, sono questi layers a definire nel loro insieme lo stato delle reti e quindi l’esperienza finale dell’utente.
Un esempio pratico è quello delle vulnerabilità del software, alle quali si è soliti pensare come a un concetto legato temporalmente alle fasi di sviluppo.
Tuttavia, è noto che le vulnerabilità possono manifestarsi e rilevarsi in ogni fase del ciclo di vita del software, incluso la fase di esercizio e produzione del software, quando lo stesso, rilasciato dal Vendor, è integrato nel contesto Operatore, in una rete distribuita ed eterogenea, per sua natura complessa, ed è parte dell’erogazione di un servizio che deve assicurare determinati livelli di continuità, sicurezza e privacy, integrità e robustezza. In questa specifica fase, ovvero in una rete che sta erogando un servizio, l’impatto di una vulnerabilità critica può essere rilevante poichè devono essere presi in considerazione, per la sua risoluzione o contenimento, numerosi riverberi legati a interdipendenze e vincoli di altri sistemi interconnessi, sia operativi che tecnici e progettuali, ma soprattutto processi e soggetti che possono condizionare il corretto funzionamento complessivo del servizio.
Appare anche evidente come, dal punto di vista operativo e di esercizio, sia opportuno considerare l’intero perimetro dei prodotti e dei servizi, ovvero la RAN, il trasporto, la Core e le reti di interconnessione, i sistemi OSS e BSS, i nodi di positioning etc e non solamente una parte delle reti, anche se ritenuta più critica delle altre. Una vulnerabilità, o una debolezza in un processo, all’interno dell’ecosistema di esercizio di un Operatore rappresenta comunque una opportunità per soggetti malevoli, nonostante la criticità dell’asset di riferimento possa, correttamente, imporre dei criteri di prioritizzazione per la sua risoluzione.
Per le motivazioni esposte pertanto, la complessità effettiva e l’accountability di una rete che eroghi servizi di comunicazione 5G non possono essere appannaggio di un unico soggetto, sia esso l’Operatore o il Vendor di prodotto. Ciascuno per le proprie competenze e responsabilità deve concorrere e collaborare al raggiungimento e mantenimento dell’obiettivo fondamentale, quello della sicurezza e privacy della rete.
Come sta evolvendo il settore delle telecomunicazioni: Vendor e Operatori
Il 5G viene considerato uno standard di comunicazione mobile più sicuro delle generazioni precedenti poiché implementa non solo tutte le funzionalità già incluse nella 4G ma, ad esempio, impiega protocolli di sicurezza aggiornati, permette il network slicing come forma flessibile di network segregation, ovvero specifiche caratteristiche di privacy e security. I Vendor devono garantire l’implementazione degli standard attraverso processi e framework consolidati di sicurezza e soddisfare le aspettative dell’Operatore per quanto riguarda la gestione delle attività di Operation per la sicurezza, adottare programmi di gestione delle vulnerabilità robusti e fornire la giusta visibilità dei prodotti quando inseriti in un contesto di rete. E’ sicuramente fondamentale integrare la sicurezza e privacy all’interno dei prodotti e delle soluzioni sin dalla fase di progettazione per essere in grado di cogliere le opportunità di anticipare il più possibile le eventuali problematiche progettuali e ridurre significativamente i rischi di mancata o errata realizzazione. Il mercato ha recepito queste indicazioni ed è ormai una abitudine riferirsi a Data Protection and Security by design come il modello per lo sviluppo sicuro che affronta le tematiche di sicurezza e privacy in tutte le fasi rilevanti della catena del valore.
Questo approccio aiuta a soddisfare le aspettative degli stakeholder e a far fronte alla rapida evoluzione della tecnologia e ai continui cambiamenti nella legislazione a livello globale e locale, fino al livello di singola opportunità.
Per contro, gli standard e i framework di sviluppo, da soli, seppur implementati alla lettera non bastano ad assicurare reti sicure in esercizio: le fasi di progettazione di una soluzione, di integrazione in rete, di deployment e di operations definiscono un nuovo perimetro e contesto di sicurezza per i prodotti.
E’ quindi necessario per l’Operatore, con il supporto del Vendor, riconsiderare il mutato scenario di deployment e analizzare le minacce e il threat modeling del nuovo contesto.
Da questo punto di vista, è importante osservare come vendor come Ericsson stiano operando nel sostenere il paradigma Zero Trust, ovvero, in estrema sintesi, nessun asset ha un diritto implicito di accesso alle risorse ed è necessario andare oltre le difese perimetrali ordinarie. In particolare negli Stati Uniti dove, sotto la spinta anche degli Enti governativi, si sta assistendo alla definizione di programmi di attuazione per l’implementazione di architetture Zero Trust [ 3 ] in numerose entità, pubbliche e private. L’obiettivo traguarda, anche in questo caso, il servizio end-to-end risultante, quello fornito dall’Operatore, e mira a definire e attuare delle misure che riducano il rischio di esposizione; da notare come comunque non sia possibile sostituire la componente di Security Operations, intesa come monitoraggio, supervisione e verifica delle reti, che continua a costituire un ruolo fondamentale per assicurare il mantenimento delle corrette configurazioni e attese funzionalità.
Anzi, questa componente di servizio va decisamente, anche per le reti 5G, verso modelli di maturità che prevedono l’automazione, così come avvenuto anni fa nel contesto dell’IT, dove le soluzioni di security automation hanno rappresentato l’evoluzione delle piattaforme e processi SIEM e SOC.
Dal punto di vista operativo, emerge quanto mai la necessità per il Vendor e l’Operatore di collaborare attivamente per la messa a punto di processi efficaci per la gestione degli incidenti di sicurezza; appare inoltre rilevante la capacità di condividere e analizzare le indicazioni di Threat Intelligence specifici per le reti Telco, molto spesso globali ma con possibile effetto locale. Inoltre, la gestione delle vulnerabilità deve essere una gestione World class e rivelarsi efficace, di alto livello, trasparente e adeguata ai contesti. Concretamente, processi e soluzioni per la Security Automation e Threat Intelligence devono integrarsi e cooperare con i Security Incident Response Team, ovvero i CSIRT degli Operatori o delle Autorità o i PSIRT (Product Security Incident Response Team) del Vendor.
Dal punto di vista organizzativo, è possibile osservare come le grandi aziende, come Ericsson, abbiano da tempo dato esecuzione a programmi di awareness e skill improvement per il proprio personale, specificatamente per security e privacy, oltre che a programmi formativi per il personale IT all’educazione informatica, si vedano le diverse iniziative e soluzioni per mitigare il rischio di fenomeni di phishing.
Considerazioni finali
L’approccio basato sulle più attuali pratiche di sicurezza deve sicuramente includere il rispetto del security-by-design, meccanismi di automatizzazione che riguardino lo Zero Trust, gli investimenti nello sviluppo delle competenze, la collaborazione attiva e la condivisione delle informazioni tra Operatori, Vendor e Autorità deputate ma anche l’uso strategico dell’automazione a supporto delle attività di Operations. Non ultimo, diventa fondamentale il percorso di cooperazione tra le Agenzie di Sicurezza nazionali, nel condividere un comune standard di riferimento e nel definire condizioni di mutuo riconoscimento operativo, al fine di avviare approcci frammentati in cui possano insinuarsi vulnerabilità di sistema.
Riferimenti
[1] Eu 5G Toolbox – Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures | Shaping Europe’s digital future (europa.eu)
[2] OECD (2023), “Enhancing the security of communication infrastructure”;, OECD Digital Economy Papers, No. 358, OECD Publishing, Paris, https://doi.org/10.1787/bb608fe5-en.
[3] NIST SPECIAL PUBLICATION 1800-35A Implementing a Zero Trust Architecture, Volume A: Executive Summary (nist.gov)
Articolo a cura di Luciano Cioccolanti e Antonio Sfameli