Il 5G diventa ufficialmente parte integrante della strategia nazionale americana per la cybersicurezza: la Cybersecurity and infrastructure security agency (Cisa) del governo degli Stati Uniti ha pubblicato il suo “5G Security evaluation process investigation study”. Il documento di 44 pagine (SCARICA QUI IL REPORT COMPLETO) è progettato come guida alla sicurezza per le agenzie federali che desiderano utilizzare le tecnologie mobili di nuova generazione, dal 5G standalone (SA) al multi-access edge computing (Mec) fino al network slicing.
La pubblicazione dello studio arriva dopo anni di dibattito interno al governo federale su come garantire la sicurezza nel 5G e quale agenzia governativa dovrebbe farlo. Gli Usa si muovono, in parte, in ritardo, perché l’adozione del 5G e la cybersicurezza sono temi già da tempo strategici.
“L’intento di questo processo di valutazione della sicurezza è quello di fornire un approccio uniforme e flessibile che le agenzie federali possono utilizzare per valutare, comprendere e affrontare le lacune nelle attuali valutazioni della sicurezza delle tecnologie adottate”, ha scritto Eric Goldstein, vicedirettore esecutivo per la cybersecurity, sul blog di Cisa. “Un tale processo fornirà la garanzia che il sistema del governo è protetto e che i criminali informatici non possono ottenere l’ingresso dalle backdoor nelle reti delle agenzie attraverso la tecnologia 5G”.
I rischi legati al 5G: dal Denial of service alla fuga di virtual machine
Il nuovo documento sul 5G rilasciato fornisce una descrizione dettagliata delle tecnologie 5G e di come potrebbero essere implementate dalle agenzie federali. Inoltre, evidenzia alcune delle numerose minacce che le agenzie governative potrebbero dover affrontare mentre lavorano per implementare il 5G: “Le minacce alle piattaforme dei servizi di virtual machine e container hanno un impatto su tanti aspetti del 5G: core, Ran, Mec, network slicing, virtualizzazione, orchestrazione e gestione”, si legge. “Le minacce includono DoS, fuga di virtual machine/container, attacchi side-channel e configurazioni errate dei servizi cloud per gli utenti finali”.
L’agenzia mette in guardia anche sui rischi legati alla catena di approvvigionamento: “Le minacce possono verificarsi durante il provisioning, l’acquisizione e l’incorporazione di componenti software, firmware e hardware nei sottosistemi Ue, Ran, 5G core e virtualizzazione. Le minacce includono l’inserimento di componenti vulnerabili o dannosi, componenti open-source dannosi o vulnerabili, attacchi a hardware, firmware o sistemi operativi vulnerabili”.
Il ruolo dei sistemi di valutazione commerciali
Il documento delinea quindi alcune configurazioni 5G specifiche che le agenzie federali possono utilizzare, comprese le reti 5G private e le reti host neutrali e offre raccomandazioni su alcune linee guida di sicurezza federali che potrebbero applicarsi ai servizi e alle reti 5G.
Infine, lo studio suggerisce di valutare i framework proposti dall’industria del 5G, inclusi 3Gpp e O-Ran alliance: “In assenza di un programma di valutazione del governo statunitense o di uno standard governativo conoscibile, i gestori del rischio possono identificare regimi di valutazione alternativi, come certificazioni di settore, programmi di garanzia della sicurezza creati da gruppi commerciali o altri framework di valutazione delle migliori pratiche. Tuttavia, prima di tentare di utilizzare questi sistemi per la loro valutazione della sicurezza del 5G, i gestori del rischio dovrebbero valutarne attentamente l’adeguatezza e la completezza”.
