La creazione di un’infrastruttura 5G nazionale rappresenta, senza dubbio, un’opportunità di crescita senza precedenti. A fronte di enormi vantaggi, tuttavia, lo sviluppo di queste tecnologie porterà una serie di rischi e minacce non irrilevanti per le infrastrutture critiche, quali attacchi informatici e cyberspionaggio: la Cybersecurity and Infrastructure Security Agency (CISA), ben consapevole di questi rischi, ha adottato una nuova strategia di sicurezza per il 5G.
Indice degli argomenti
Nuova strategia di sicurezza per il 5G: il ruolo della CISA
Lo scorso agosto, la CISA ha pubblicato la “CISA 5G STRATEGY: Ensuring the Security and Resilience of 5G Infrastructure In Our Nation”, un documento che parte dalla definizione del 5G, delle sue potenzialità e delle minacce ad esso connesse, per arrivare a delineare le iniziative strategiche necessarie per la prevenzione dei rischi.
La Casa Bianca ha adottato già a marzo la “National Strategy to secure 5G”, un documento che, espandendo gli obiettivi della National Cyber Strategy, si prefigge 4 obiettivi principali:
- facilitare lo sviluppo di tecnologie 5G su tutto il territorio nazionale;
- valutare i rischi per la sicurezza informatica e identificare i principi di sicurezza fondamentali delle infrastrutture 5G;
- affrontare i rischi per la sicurezza nazionale degli Stati Uniti;
- promuovere uno sviluppo “responsabile” di un’infrastruttura 5G sicura e affidabile.
La CISA è responsabile della gestione dei rischi connessi alle tecnologie 5G. Da queste quattro “lines of efforts”, l’Agenzia individua 5 iniziative strategiche che permetteranno agli Stati Uniti di sviluppare un’infrastruttura 5G al riparo dai rischi e di sfruttarne le potenzialità di crescita economica. Queste iniziative si basano sulle tre competenze chiave della CISA:
- la gestione del rischio; promuovere uno sviluppo resiliente del 5G attraverso l’analisi, l’identificazione e la gestione dei rischi;
- coinvolgimento dei soggetti interessati; coinvolgere attivamente istituzioni locali e federali, università e partner internazionali per affrontare le sfide poste dallo sviluppo del 5G;
- assistenza tecnica; sviluppare strumenti per supportare gli stakeholders nello sviluppo di un’affidabile infrastruttura 5G.
Iniziative strategiche
Riprendendo la National Strategy adottata dalla Casa Bianca, la CISA ha delineato 5 “strategic initiatives”, ciascuna delle quali affronta specifici rischi e definisce obiettivi da raggiungere per permettere l’adozione di tecnologie 5G in piena sicurezza.
Fonte: Cybersecurity and Infrastructure Security Agency.
La prima iniziativa strategica consiste nel supportare lo sviluppo di standard e policies 5G rafforzando la sicurezza e la resilienza dell’infrastruttura. L’esito desiderato è che gli attori malevoli non siano in grado di influenzare il design e l’architettura delle reti 5G.
Gli obiettivi più ampi sono principalmente tre. Innanzitutto, espandere e rafforzare la cooperazione con aziende governative e gruppi di lavoro 5G, quali il Communications Security Reliability and Interoperability Council (CSRIC), attraverso l’individuazione di più aree di expertise e di possibile collaborazione.
Il secondo obiettivo è collaborare con affidabili aziende leader di mercato che possano contribuire allo sviluppo di standards di sicurezza elevati. Tra le aziende partner vi sono la International Telecommunication Union, l’Institute of Electrical and Electronics Engineers, e la Alliance for Telecommunications Industry Solutions.
Infine, con questa iniziativa la CISA si prefigge di supportare gli sforzi internazionali per realizzare un sicuro e resiliente policy framework riguardante il 5G.
La seconda iniziativa strategica consiste nell’aumentare la consapevolezza sui rischi legati alla supply chain del 5G e nel promuovere misure di sicurezza. Dato l’elevato rischio connesso ai componenti forniti da terze parti (third-party vendors), l’esito desiderato è la prevenzione o, quantomeno, la mitigazione delle vulnerabilità insite nella supply chain delle tecnologie 5G.
Il primo obiettivo che la CISA si pone è di collaborare con aziende e governo federale per la gestione dei rischi legati alla supply chain. Il governo degli Stati Uniti ha, infatti, istituito la task force ICT Supply Chain Risk Management (SCRM) e il Federal Acquisition Security Council (FASC) che provvedono a emanare raccomandazioni sui rischi connessi alla supply chain del 5G.
Sviluppare un framework comune per valutare, prioritizzare e comunicare i rischi della supply chain è il secondo obiettivo di questa iniziativa. I vendors ad alto rischio potrebbero aumentare le vulnerabilità della supply chain; proprio per questo, è fondamentale la collaborazione tra la CISA e la task force ICT SCRM, al fine di creare un framework di sicurezza in base al quale valutare l’affidabilità dei componenti e l’impatto delle minacce esterne sulla catena di approvvigionamento.
L’ultimo obiettivo è quello di creare materiale divulgativo per promuovere strategie di risk management per ogni settore delle infrastrutture critiche, in modo tale che le parti interessate possano adottare le necessarie misure per la prevenzione dei rischi.
Prima di procedere allo sviluppo di una rete 5G, è necessario rafforzare l’infrastruttura esistente attraverso la stretta collaborazione con le parti interessate. La terza iniziativa strategica prevede, infatti, che vengano superate le vulnerabilità e affrontati i rischi legati all’infrastruttura 4G, in modo tale da poter sviluppare in tutta sicurezza la rete 5G.
Il primo obiettivo di questa iniziativa è collaborare con i laboratori nazionali (es. l’Idaho National Laboratory) e i centri tecnologici per valutare i componenti chiave delle reti 5G e individuare le vulnerabilità. Il 5G richiederà l’utilizzo di un numero di componenti maggiore rispetto a quelli delle tecnologie precedenti, il che aumenterà, di fatto, la superficie di attacco.
Come secondo obiettivo, quest’iniziativa prevede degli impegni da parte dell’Agenzia al fine di promuovere la sicurezza e la resilienza del 5G nei settori delle infrastrutture critiche e nelle comunità SLTT (State, Local, Tribal and Territorial). In particolare, la CISA si impegna a facilitare la sensibilizzazione attraverso riunioni, workshop e conferenze.
Infine, il terzo obiettivo prevede la condivisione di best practice, attraverso la rete di partnerships internazionali, in modo da istituire degli standard comuni di sicurezza e dei meccanismi di condivisione rapida delle informazioni.
L’innovazione è, spesso, un elemento positivo. Per questo, la quarta iniziativa strategica proposta dall’Agenzia consiste nell’incoraggiare l’innovazione nel mercato del 5G, così da favorire vendors affidabili.
Il primo obiettivo di questa iniziativa è la collaborazione con partner federali inter-agenzie in progetti di Ricerca e Sviluppo centrati sulle capacità e le tecnologie 5G emergenti.
Inoltre, l’agenzia, attraverso questa iniziativa, si propone di analizzare e riportare i rischi di lungo periodo connessi a vendors 5G non affidabili. Un grande rischio per le infrastrutture, infatti, è legato al procurement dei componenti da vendors non affidabili, che, se possono risultare economici, possono rappresentare una grave minaccia in termini economici e di sicurezza nazionale.
Infine, la CISA delinea come punto chiave la partecipazione ai programmi di concorso a premi del governo federale per individuare soluzioni innovative per lo sviluppo di un’’infrastruttura 5G sicura.
L’ultima strategia individuata dalla CISA consiste nell’analizzare i potenziali casi uso del 5G e condividere informazioni sulle strategie di gestione del rischio, al fine di individuare e mitigare le vulnerabilità dell’infrastruttura.
Il primo obiettivo è l’identificazione, la prioritizzazione e la valutazione dei casi di utilizzo del 5G in ambienti reali o simulati. L’analisi di scenari futuri permette all’Agenzia di identificare quali “use case” sono talmente fondamentali che il loro malfunzionamento può avere effetti negativi sulla sicurezza nazionale, sull’ economia o sulla sanità pubblica.
È necessario, poi, che l’Agenzia fornisca assistenza tecnica ai soggetti interessati, in modo tale che essi possano affrontare i rischi legati agli specifici casi di utilizzo. La CISA offrirà, quindi, strategie di risk management specifiche per ogni settore delle infrastrutture critiche.
Infine, poiché le reti 5G permetteranno l’espansione dei dispositivi IoT (Internet of Things), è necessario che venga creato e diffuso un framework di best practice. Dato, infatti, l’aumento della superficie di attacco, in mancanza di un adeguato livello di sicurezza informatica, l’infrastruttura 5G e i devices che sfruttano tale tecnologia, saranno facili prede di attori malevoli.
Conclusioni
Come conclude la strategia pubblicata dalla Cybersecurity and Infrastructure Security Agency, il 5G rappresenta un’opportunità di crescita economica e di sviluppo di nuove tecnologie e capacità industriali.
Tuttavia, rimane sempre vero il “capability-vulnerability complex”, in base al quale all’aumentare delle capacità, si assiste a un incremento delle vulnerabilità.
L’adozione di un policy framework sulla sicurezza del 5G sta riguardando molti paesi. Gli Stati Uniti hanno adottato la già citata National Strategy to secure 5G; l’Unione Europea ha pubblicato la Commission Recommendation on the Cybersecurity of 5G networks nel 2019 e altri documenti successivi per verificare lo stato dell’arte nell’adozione di misure di sicurezza nell’implementare il 5G nei Paesi membri.
Sembra ormai ovvio, quindi, che il 5G sarà una rivoluzione notevole non solo nel settore informatico e delle comunicazioni, ma in quasi tutti gli aspetti della vita quotidiana.
È proprio per questo che è necessaria la creazione di alti standards di sicurezza a cui le aziende si debbano adeguare, al fine di tutelare l’integrità delle infrastrutture critiche e della sicurezza nazionale.
Uno dei punti chiave sarà la condivisione delle informazioni, attraverso cui le aziende potranno verificare l’affidabilità dei vendors e, quindi, la sicurezza dei componenti.
Come evidenziato dalla CISA e dall’ENISA, nei rispettivi report, la condivisione di best practice a livello internazionale sarà fondamentale per prevenire i rischi e mitigare le minacce legate al 5G.
