Cyberbeveiliging van 5G-netwerken: EU publiceert verslag over de beveiliging van Open RAN

Met dank overgenomen van Europese Commissie (EC) i, gepubliceerd op woensdag 11 mei 2022.

In samenwerking met de Europese Commissie en Enisa (het EU-agentschap voor cyberbeveiliging) publiceren de EU-lidstaten vandaag een verslag over de cyberbeveiliging van Open RAN. Dit nieuwe type 5G-netwerkarchitectuur biedt de komende jaren een op open interfaces gebaseerd alternatief bij de uitrol van het radiotoegangsgedeelte van 5G-netwerken. Daarmee wordt een nieuwe belangrijke stap gezet in de coördinatie op EU-niveau van de cyberbeveiliging van 5G-netwerken. Alle partijen zijn doordrongen van de noodzaak om de beveiligingsproblemen bij 5G-netwerken gezamenlijk aan te blijven pakken en de ontwikkelingen op het gebied van de 5G-techologie en -architectuur goed in het oog te houden.

EU-burgers en -ondernemingen die gebruikmaken van geavanceerde, innovatieve toepassingen op basis van 5G en toekomstige generaties van mobiele communicatienetwerken, moeten erop kunnen vertrouwen dat deze aan de hoogste beveiligingsnormen voldoen. Na het op EU-niveau al verrichte coördinatiewerk om de beveiliging van 5G-netwerken te versterken op basis van de EU-toolbox voor 5G-cyberbeveiliging, hebben de lidstaten thans de beveiligingsimplicaties van Open RAN geanalyseerd.

Margrethe Vestager, uitvoerend vicevoorzitter voor een Europa dat klaar is voor het digitale tijdperk: “Onze gemeenschappelijke prioriteit en verantwoordelijkheid is ervoor te zorgen dat 5G-netwerken in Europa tijdig worden uitgerold en tegelijkertijd veilig zijn. Door Open RAN-architectuur ontstaan er nieuwe kansen op de markt, maar uit dit verslag blijkt dat de beveiliging een groot probleem is, met name op korte termijn. Het is van belang dat alle deelnemers voldoende tijd en aandacht besteden aan het oplossen van die problemen, zodat Open RAN kan uitgroeien tot een volwaardig alternatief.”

Thierry Breton, commissaris voor de Interne Markt: “Met de uitrol van 5G-netwerken over de EU en met de steeds grotere afhankelijkheid van digitale infrastructuur is een krachtige beveiliging van onze communicatienetwerken belangrijker dan ooit. Daarom zijn we met de toolbox voor 5G-cyberbeveiliging gekomen. En daarom komen we nu — samen met de lidstaten — met dit nieuwe verslag over Open RAN. Het is niet aan de overheid om een technologie te kiezen. Wel dienen we de risico's van individuele technologieën te beoordelen. Uit dit verslag blijkt dat Open RAN kansen biedt, maar dat er nog een oplossing moet worden gevonden voor een aantal wezenlijke, niet te onderschatten beveiligingsproblemen. In geen geval mag de mogelijke uitrol van Europese 5G-netwerken op basis van Open RAN tot nieuwe kwetsbaarheden leiden.”

Guillaume Poupard, directeur-generaal van het Franse cyberbeveiligingsagentschap ANSSI: “Na de EU-toolbox voor 5G-cyberbeveiliging is dit verslag een nieuwe mijlpaal in de werkzaamheden van de NIS-samenwerkingsgroep om de beveiligingsrisico's van onze 5G-netwerken te coördineren en te beperken. Met deze diepgaande beveiligingsanalyse van Open RAN haken we aan bij nieuwe trends en de daarmee gepaard gaande knelpunten in de beveiliging. We zullen ons blijven inzetten voor een gezamenlijke aanpak van deze knelpunten.”

In het verslag wordt geconstateerd dat Open RAN kansen biedt op het gebied van beveiliging wanneer aan bepaalde voorwaarden wordt voldaan. Dankzij een grotere interoperabiliteit tussen RAN-componenten hoeven dergelijke componenten in netwerken die in hetzelfde geografische gebied liggen, niet van dezelfde leverancier te komen. Dit zou passen in de aanbeveling van de EU-toolbox voor 5G dat alle exploitanten ervoor moeten zorgen dat zij niet vastzitten aan één leverancier. Open RAN kan er ook voor zorgen dat het netwerk dankzij de open interfaces en normen een sterker eigen profiel krijgt en dat door de grotere automatisering minder menselijke fouten worden gemaakt. Ook kan het door de toepassing van virtualisering en cloudoplossingen meer flexibiliteit bieden.

Het Open RAN-concept is echter nog niet uitontwikkeld en de cyberbeveiliging blijft een duidelijk punt van zorg. Met name op korte termijn kan Open RAN een aantal beveiligingsrisico's verergeren doordat de netwerken complexer worden. Doordat middelen worden gedeeld, kunnen er over een breder gebied en via meer toegangspunten aanvallen worden gelanceerd, is er een groter risico dat netwerken foutief worden geconfigureerd, en kunnen andere netwerkfuncties worden aangetast. In het verslag wordt ook opgemerkt dat bepaalde technische specificaties, zoals die van de O-RAN Alliance, onvoldoende ontwikkeld en qua ontwerp niet veilig genoeg zijn. Open RAN kan leiden tot een nieuwe of grotere kritieke afhankelijkheid, bijvoorbeeld op het gebied van componenten en de cloud.

Om deze risico's te beperken en de mogelijkheden van Open RAN te vergroten, wordt in het verslag een aantal aanbevelingen gedaan op basis van de EU-toolbox voor 5G. Met name wordt aanbevolen om:

  • via regelgevende bevoegdheden de mogelijkheid te scheppen om grootschalige Open RAN-uitrolplannen van mobiele exploitanten door te lichten en zo nodig te beperken, te verbieden en/of bepaalde eisen of voorwaarden te stellen aan de levering, grootschalige uitrol en werking van de Open RAN-netwerkapparatuur;
  • essentiële technische controlemiddelen, zoals authenticatie en autorisatie, aan te scherpen en de monitoring in te richten op basis van een modulaire omgeving waarin elke component wordt gemonitord;
  • het risicoprofiel van aanbieders van Open RAN zelf, externe aanbieders van diensten voor Open RAN, aanbieders van clouddiensten en infrastructuur en systeemintegratoren te beoordelen en de controles en beperkingen die gelden voor verleners van beheerde diensten (managed service providers), uit te breiden tot die aanbieders en dienstverleners;
  • lacunes in de ontwikkeling van technische specificaties aan te pakken: het proces moet voldoen aan de door de Wereldhandelsorganisatie (WTO) en de in de overeenkomst inzake technische handelsbelemmeringen (TBT) opgestelde grondbeginselen voor de ontwikkeling van internationale normen [1], en beveiligingslacunes moeten worden aangepakt;
  • Open RAN-componenten in een zo vroeg mogelijk stadium op te nemen in de toekomstige certificeringsregeling voor G5-cyberbeveiling, waaraan op dit moment wordt gewerkt.

Wat het behoud en de versterking van de EU-capaciteit op deze markt betreft, moet worden vastgehouden aan een technologieneutrale verordening die de concurrentie bevordert. In dit verband kan nationale en EU-financiering voor onderzoek en innovatie op het gebied van 5G en 6G worden aangewend om EU-spelers in een kansrijkere positie te brengen en zich in een gelijk speelveld staande te houden. Afgezien van het RAN is het sowieso van belang om een mogelijke afhankelijkheid of eenzijdigheid van het aanbod in de hele communicatiewaardeketen aan te pakken.

Al met al wordt in het verslag een voorzichtige aanpak aanbevolen voor de overschakeling op deze nieuwe architectuur, die alleen in de plaats zou mogen komen van de huidige, betrouwbare technologieën of naast dergelijke technologieën zou mogen bestaan als er voldoende tijd en middelen zijn om de risico's ervan vooraf te beoordelen, mitigatiemaatregelen te nemen en de verantwoordelijkheden in geval van falen of een incident duidelijk te omschrijven.

Achtergrond

De tijdige uitrol van veilige 5G-netwerken is een hoge prioriteit voor de Europese Unie. In dit verband hebben de EU-lidstaten, met steun van de Europese Commissie en Enisa, een gecoördineerde aanpak voor de cyberbeveiliging van 5G-netwerken ontwikkeld. Op basis van deze aanpak hebben de EU-lidstaten gezamenlijk de voornaamste risico's die verbonden zijn aan 5G-netwerken, beoordeeld (“gecoördineerde EU-risicobeoordeling”) en een brede, risicogebaseerde aanpak uitgewerkt in de vorm van de EU-toolbox voor 5G, die in januari 2020 is goedgekeurd. Deze toolbox bevat aanbevelingen voor een reeks gezamenlijke risicobeperkende maatregelen.

De EU-toolbox voor 5G bevat strategische en technische maatregelen en de bijbehorende concrete stappen om de doeltreffendheid ervan te vergroten. De voornaamste maatregelen zijn erop gericht de beveiligingseisen aan te scherpen, de risicoprofielen van leveranciers te beoordelen, beperkingen toe te passen voor risicovol geachte leveranciers en deze zo nodig uit te sluiten bij de belangrijkste onderdelen die als kritiek en gevoelig worden beschouwd (zoals de kernfuncties van het netwerk), en ervoor te zorgen dat uit meer leveranciers kan worden gekozen en er geen afhankelijkheid van een bepaalde leverancier ontstaat.

Met het oog op de voortzetting en verdieping van het EU-coördinatieproces voor 5G-cyberbeveiliging zijn in de EU-strategie voor cyberbeveiliging van december 2020 drie hoofddoelstellingen geformuleerd: 1) “de risicobeperkingsbenaderingen in de gehele EU meer gelijklopend maken”, 2) “een voortdurende uitwisseling van kennis en capaciteitsopbouw ondersteunen” en 3) “de veerkracht van de toeleveringsketen en andere strategische beveiligingsdoelstellingen van de EU bevorderen”.

In het kader daarvan zal de NIS-samenwerkingsgroep nieuwe trends en ontwikkelingen in de 5G-toeleveringsketen blijven volgen en beoordelen. Aangezien Open RAN een markttrend is in de ontwikkeling van 5G- en 6G-architectuur, hebben de lidstaten besloten om naast de gecoördineerde risicoanalyse van 5G een diepgaande analyse van de beveiligingsimplicaties van Open RAN te verrichten.

Meer informatie

EU-toolbox voor 5G-cyberbeveiliging

NIS-samenwerkingsgroep

[1] Overweging (2) van Verordening (EU) nr. 1025/2012 van het Europees Parlement en de Raad van 25 oktober 2012 betreffende Europese normalisatie.