NUOVE TECNOLOGIE

Cyber security 5G: scenari applicativi, fattori di rischio e soluzioni tecnologiche

La cyber security 5G pone due problemi: il primo è quello dell’implementazione e del deployment sicuro dell’infrastruttura; il secondo è invece dovuto all’aumento della superficie d’attacco del nuovo ecosistema distribuito e continuamente connesso. Ecco i rischi cyber derivanti dall’avvento del 5G e come mitigarli

27 Feb 2020
D
Giuseppe Del Giudice

Senior Consultant - Cyber Security, IT Strategy and Governance presso Sia Partners


La tematica della cyber security 5G e in particolare delle infrastrutture abilitanti la sua distribuzione sul mercato e territorio nazionale, non deve essere confusa con la querelle USA vs Repubblica Popolare Cinese, o Stati occidentali da una parte e Huawei e Cina dall’altra; ma il tema è senza dubbio di centrale importanza se lo si astrae dalle contingenze storiche contemporanee per condurlo sul piano astratto dei livelli di rischio per la sicurezza nazionale che possono essere generati dallo sviluppo tecnologico da una parte e dalle regole e principi del libero mercato dall’altra.

Ancora una volta due titani che paiono inconciliabili posti in contrapposizione uno di fronte all’altro: economia e sicurezza.

Lo scenario si completa pensando alla reale portata dei cambiamenti che l’utilizzo maturo della tecnologia 5G renderà più che reali: ci si riferisce agli utilizzi sui c.d. mercati verticali e alla possibilità di abilitare e sostenere tecnologicamente lo sviluppo del paradigma IoT (ancora una volta con applicazioni, se si vuole, “orizzontali”) Industry 4.0, Smart City e via dicendo.

Le capacità offerte dalla tecnologia 5G renderanno possibili la maturazione e il potenziamento, come l’effettivo deployment e utilizzo, di diversi paradigmi tecnologici. In altre parole, potenzialmente, renderà possibili scenari dove l’aumento del cosiddetto perimetro d’attacco (e dei conseguenti livelli di rischio) non dovrà essere letto solo con riguardo a caratteristiche intrinseche delle infrastrutture 5G, ma abbraccerà infrastrutture critiche, città e persone stesse, vivendo a tutti gli effetti in un modello decentrato a “connessione continua”.

La tecnologia 5G e i rischi cyber derivanti dal suo avvento

In 30 anni di sviluppo l’evoluzione dei sistemi di telecomunicazione, alla base dello scambio e condivisione dell’informazione, è stata scortata dall’innovazione tecnologica che dallo sviluppo dei semiconduttori, dell’ottica, della radio ed infine dall’informatica, ha attraversato tutte le fasi di sviluppo delle stesse capacità di “connettere” e “scambiare” informazione tra mittenti e destinatari, a velocità diverse, e spostando sempre più in là il concetto di prossimità dei comunicanti e l’istantaneità delle informazioni scambiate.

Internet ha costituito una delle più fulgide espressioni di come tale paradigma si sia spinto verso la “connessione totale e continua” di individui, di apparati, di settori, inaugurando l’inizio della c.d. digitalizzazione in ogni settore, con una crescita impressionante di servizi e sviluppo di nuovi paradigmi di business.

Ha inaugurato, se si vuole, un “nuovo mondo”, o “dominio”, che ha a sua volta portato anche allo sviluppo (o all’adattamento) di nuovi paradigmi di aggressione (a più livelli).

Il 5G può essere descritto come il fattore abilitante la vera concretizzazione di interi filoni di innovazione tecnologica, questo grazie a sue caratteristiche intrinseche:

  • aumentata capacità di trasmissione (anche 10 volte più che LTE) che consentirà, ad esempio, nuove applicazioni delle tecnologie cloud computing;
  • latenza di pochissimi millisecondi, che consentiranno connessione e comunicazione istantanea e continua tra dispositivi nelle tecnologie di controllo real-time (si pensi al tema delle self-driving cars con la necessità di avere un’enorme numero di sensori distribuiti connessi con latenze bassissime o nulle, ma anche alle applicazioni nell’ambito dell’Industry 4.0);
  • alta affidabilità delle connessioni (al 99,999%), fattore che consentirà l’utilizzo delle reti 5G per servizi c.d. mission critical (ad. es. Public Safety, e-Healt, infrastrutture critiche ecc.);
  • elevata densità di servizio, permettendo la connessione di un elevato numero di terminali per cella (si pensi a come tale caratteristica potrebbe abilitare l’uso di sensori e oggetti e alle loro applicazioni, ad esempio, secondo il paradigma Industry 4.0);
  • supporto nativo di applicazioni IoT, con applicazioni trasversali in diversi settori verticali (dalla robotica, alla sanità, alla self-driving logistics, alle infrastrutture critiche, si pensi per fare un altro esempio al tema smart-grid nel settore energy ecc.).

Insomma, e traducendo in maniera poco elegante il concetto di aumento della superficie d’attacco, le possibilità offerte dalla tecnologia 5G, insieme con le ragioni del business e le leggi di mercato, porteranno ad inglobare tra l’attaccabile ciò che fino ad oggi non lo è stato completamente, o meglio, non lo è stato a determinati livelli d’impatto su cose, persone, e gangli centrali del sistema paese.

Questo per diverse ragioni, tra le quali la più banale è la seguente: certi paradigmi tecnologici, concretamente non esistono ancora nella loro applicazione concreta o non sono ancora completamente diffusi o deployati a livelli soddisfacenti tali da avere impatti significativi in caso di attacco.

Si pensi ai futuri scenari dell’e-Health, delle Smart Cities, o dell’Industry 4.0, che prospetta la trasformazione dell’intera sfera produttiva attraverso la convergenza delle tecnologie digitali e di internet con l’industria tradizionale, fondendo l’Operational Technology (OT) e la Information Technology (IT) in un sistema comune che consenta la completa digitalizzazione dei processi aziendali e di produzione.

Si pensi a scenari dove l’uso massiccio di dispositivi di diversa provenienza e con applicazioni diverse (sui c.d. “verticali”), commercializzati (e dunque prodotti e venduti sul mercato, e l’enfasi non è pellegrina se con questo accenno strizziamo l’occhio al problema delle specifiche di sicurezza by design applicabili dai produttori) e collegati ad un’infrastruttura di rete che permette velocità di scambio dati significative, latenza minima, comportino il rischio che una singola vulnerabilità riscontrata in una tipologia di device, o un’eventuale misconfiguration, possa esporre un’enorme mole di dati in tempi brevissimi o garantire il controllo di intere porzioni di device (si pensi, ad esempio, a scenari come quelli visti nel caso Mirai).

Qualora si tenessero anche in conto gli scenari evolutivi che la rivoluzione digitale porterà sui processi democratici di elezione (ed esempi d’attacco cyber in questo settore sono già una realtà), si comprendono bene le ragioni che portano a definire le infrastrutture 5G come strategiche dal punto di vista della sicurezza nazionale.

Cyber security 5G: il tema degli standard

Fin dal principio con lo sviluppo e lancio delle reti mobili GSM e 2G il tema degli standard ha giocato un ruolo fondamentale: la necessità è sempre stata quella di garantire interoperabilità e sicurezza delle reti. I fornitori ed i service provider si sono sempre appoggiati a determinati standard, ed il design e sviluppo dei prodotti dell’infrastruttura di rete da parte dei vari vendor hanno sempre seguito le specifiche definite dagli standard condivisi, compreso il rispetto di specifiche di sviluppo e configurazione dal punto di vista della sicurezza dei dispositivi.

Tuttavia, mentre le caratteristiche di sicurezza fondamentali sono standardizzate, i fornitori godono di un più ampio spazio di manovra durante il processo di sviluppo, dal punto di vista delle modalità d’implementazione, di funzionalità o features non standard.

WHITEPAPER
Che differenza c’è tra i Business Continuity e Disaster Recovery?
IoT
Manifatturiero/Produzione

La qualità e la sicurezza delle implementazioni dei fornitori variano e la concorrenza tra gli stessi sul mercato gioca un ruolo determinante per mantenere l’elevata sicurezza a livello di prodotto.

Dunque, da sempre, la sicurezza, in questo ambito, è stata intesa “by design”.

Non è di meno il 5G, dove grazie al lavoro di diversi organismi internazionali per la creazione e aggiornamento degli standards (es. ITU-R, 3GPP, ETSI, IEEE ecc.), come di partnership pubblico-private a livello europeo (si pensi al 5GPPP, iniziativa lanciata dalla Commissione Europea e l’industria europea ICT), sono state standardizzate determinate specifiche di sicurezza e raccomandazioni: l’architettura 5G è progettata nativamente per essere applicata a diversi use cases, ognuno dei quali presenta specifici requisiti di sicurezza.

In altre parole, ognuno dei diversi componenti architetturali delle reti 5G (come, ad esempio, i dispositivi per l’accesso al 5G New Radio) è stato sviluppato per essere utilizzato in diversi “casi d’uso”, e di conseguenza sono predisposti ad abilitare specifiche di sicurezza determinate per ognuno di tali use cases.

Tuttavia, se è vero, ad esempio, che gli standard 3GPP prevedono misure di sicurezza determinate per i componenti di un’infrastruttura 5G, e anche migliorative rispetto ai già alti standard per il 4G (si pensi alla valorizzazione dei delicati temi legati all’encryption, authentication e privacy), come è facilmente immaginabile, queste non bastano a rendere sicura end-to-end l’intera “filiera”.

Ad esempio, prevedere opportuni meccanismi di risposta ad attacchi di tipo DDoS o radio jamming, è qualcosa che insiste sul piano dell’implementazione e del deployment (come dirottare il traffico su base stations differenti in caso di attacco di DDoS per consentire la continuità del servizio), dunque sta al Service Provider nell’ambito del deployment dell’infrastruttura, definire e rendere operative queste ed altre misure di sicurezza (sia a livello tecnico che organizzativo).

Per fare un altro esempio, eventuali problemi di sicurezza applicativa sono considerati out of scope dal lavoro di standardizzazione 3GPP e devono essere risolti dai fornitori a monte: approcciando un caso pratico, l’applicazione degli standard 5G di 3GPP incidono sulla progettazione e produzione di un regolatore di temperatura in un vagone merci refrigerato di un treno connesso, ma il controllo dell’accesso e autenticazione del traffico in entrata verso il regolatore di temperatura, deve essere assicurata over the top, poiché dal momento in cui l’IP sia accessibile da internet, senza opportune misure implementate, un attaccante potrebbe inviare comandi al controller da remoto.

Lo scopo principale delle specifiche 3GPP è dunque solo l’interoperabilità sicura tra le funzioni richieste per fornire la connettività di rete, ma molto altro, resta fuori e cade sui singoli service provider e sui suoi fornitori, come sui produttori di oggetti che interagiranno nell’ecosistema 5G.

Dunque, da un punto di vista strettamente legato alla cyber security, si vengono a porre due problemi: il primo è quello dell’implementazione ed il deployment sicuro lato service provider dell’infrastruttura e con essa la previsione di misure tecniche ed organizzative di sicurezza; il secondo è invece dovuto all’aumento della c.d. superficie d’attacco e dei livelli di rischio associati a quest’ultima, ed è legato al paradigma stesso che il 5G incarna: quello di un ecosistema distribuito, continuamente connesso (continuous connection), composto da una moltitudine di devices con diverse applicazioni “verticali” che cadono su settori strategici.

In altre parole, il pericolo potrebbe venire dalla “periferia” e non dalle infrastrutture “core” del 5G, aprendo a multipli scenari.

Si pensi ai possibili impatti generabili da un attacco al sistema di gestione delle auto a guida autonoma o assistita attraverso il controllo dei sensori distribuiti nell’ambiente e/o sulle autovetture, tutti in connessione continua tra loro.

In questi casi qualcuno potrebbe immaginare come sia necessaria una compromissione massiccia per causare un blocco totale di una città, come ad esempio New York; ebbene, da uno studio pubblicato dalla American Physical Society (APS), attraverso una modellizzazione di un attacco teso a “spegnere” veicoli connessi, si evince come basterebbe che siano raggiunti solo il 20% dei veicoli circolanti a Manhattan per causarne il blocco (per approfondimenti, Cyber-physical risks of hacked Internet-connected vehicles).

Dunque, si potrebbe concettualmente dividere il 5G come tecnologia di rete e di conseguenza come servizio, da quello che potremmo definire come “l’ecosistema 5G”. Di conseguenza si potrebbe avere la “sicurezza del 5G” e la “sicurezza dell’ecosistema 5G”; tuttavia tenendo bene in mente come questa sia solo una semplificazione concettuale viste le forti dipendenze tra questi due mondi, dove i presidi di sicurezza dovranno finire armonicamente ad abbracciare tutto, con visione olistica.

Ecco che su tali due “domini” assume particolare importanza il tema dei fornitori, dello sviluppo sicuro, non solo dei dispositivi che saranno effettivamente utilizzati sui mercati verticali (dunque nell’ecosistema 5G), ma anche – e forse soprattutto – i fornitori dei Service Provider che forniranno i dispositivi e gli apparati architetturali e parteciperanno all’implementazione e deployment dell’infrastruttura 5G nelle aree dei vari territori nazionali.

Cyber security 5G, tra perimetro di sicurezza cibernetica e golden power

Se da un lato è vero che le preoccupazioni concernenti la sicurezza nazionale quando si tratta di forniture di servizi o tecnologia utilizzata in settori sensibili per uno Stato sovrano c’è sempre stata, l’avvento della tecnologia 5G ha giustamente destato particolare interesse. Le motivazioni sono facilmente comprensibili e tengono conto sicuramente di valutazioni di tipo tecnico sul piano della sicurezza delle infrastrutture di rete, ma soprattutto guardando a scenari di rischio prospettabili quando si fa riferimento “all’ecosistema 5G” (con il coinvolgimento diretto di infrastrutture e servizi critici dal punto di vista della sicurezza nazionale).

Il terzo elemento di preoccupazione è innegabilmente correlato al “posizionamento” del singolo paese rispetto ad aziende fornitrici di tecnologia utile o indispensabile alla “messa a terra” dell’ecosistema stesso (o se si vuole dell’infrastruttura di rete).

Su quest’ultimo punto, in particolare, la complessità deriva da un pregresso di rapporti economico-giuridici instaurati tra entità private nazionali con aziende fornitrici estere e con una possibile pletora di sub-fornitori, che rendono particolarmente arduo il controllo della filiera di fornitura sia per le stesse aziende private, che – a maggior ragione – per gli organi deputati a garantire la sicurezza economica, sociale e politica di una nazione.

La stessa relazione del COPASIR sul 5G, oltre a far riferimento e ribadire gli scenari di rischio che la stessa ENISA a livello europeo ha prospettato, chiaramente indica come la postura di sicurezza italiana dovrebbe tenere in conto, fra i fattori di rischio per la sicurezza nazionale, “non solo i profili attinenti la tecnologia ma altresì quelli derivanti da fattori extra-tecnici, e collegati alle politiche e ai sistemi legali vigenti nei Paesi terzi, con i quali vengano instaurati rapporti per la fornitura di servizi e prodotti”.

Questa è una tematica che direttamente porta alla mente il caso Huawei e ZTE, così come la Repubblica Popolare Cinese, tuttavia, insistiamo, questa è una problematica trasversale che dovrebbe riguardare, in modo “ateo”, tutti gli attori nazionali posti sullo scacchiere internazionale ed i “rapporti” che intercorrono tra i comparti di sicurezza nazionale ed aziende private costituite negli ordinamenti giuridici di tali entità statali.

Il bene da proteggere è la sicurezza nazionale, se si vuole gli interessi politico-economico-sociali della Repubblica, e giuridicamente può essere posto in bilanciamento con i principi del libero mercato: il bilanciamento comporta, naturalmente, la sua stessa applicazione solo in determinati casi.

In questo senso il concetto del bilanciamento tra principi di libertà economica, secondo il modello occidentale, e ragioni di sicurezza nazionale, potrebbe trovare diverse soluzioni:

  1. Incoraggiare certa sovranità tecnologica, anche caldeggiata dalla Commissione nel 2013 quando invitò gli Stati Membri dell’Unione ed il Parlamento Europeo a ragionare intorno a possibili modalità volte a creare e favorire lo sviluppo di un’industria europea per alcuni prodotti considerabili come “critici” dal punto di vista della sicurezza nazionale (ed evitare il problema della dipendenza da fornitori stranieri). In questo senso Cina, pur non potendo essere paragonata né al caso italiano, né di alcun altro paese occidentale, forse ad esclusione degli USA, ha mosso alcuni passi in questa direzione (ad. es. promulgando la China 3-5-2 directive orders state offices to remove foreign hardware and software);
  2. Ricorrere a valutazioni di natura tecnica su determinate categorie di prodotti o servizi che includano requisiti legati alla sicurezza intrinseca degli apparati o delle modalità di erogazione del servizio.

La prima via sembra alquanto ostica e politicamente tormentata, anche perché dovrebbe essere adottata a livello dell’Unione, viste le interdipendenze. Il legislatore europeo e, per quanto riguarda l’Italia, il legislatore domestico, pare abbiano già provveduto a scegliere la seconda via: esempi paradigmatici e strumenti concreti sono il Cybersecurity Act (anche se solo per prodotti “consumer”) e, in Italia, con il Perimetro di sicurezza cibernetica, il quale saggiamente prevede un’estensione del sistema di certificazione tecnica anche a forniture considerate come critiche per la sicurezza nazionale.

In questo modo non si violerebbero, in Italia ad esempio, le norme in tema di appalti pubblici, né si incrinerebbero i principi fondamentali del libero mercato: ogni competitor sul mercato può collocare i suoi prodotti o servizi, tuttavia, in particolari ambiti (che l’Italia proprio con il lavoro per fare atterrare il perimetro di sicurezza cibernetica sta compiendo in questi mesi con in prima fila il DIS), sono richiesti specifici requisiti.

Il varo dei decreti attuativi del Perimetro di Sicurezza cibernetica, permetterà all’Italia (con in prima fila il DIS), di definire tali “particolari ambiti” strategici per la sicurezza nazionale, nei quali, in virtù del meccanismo di bilanciamento di interessi, l’affidamento di forniture a terzi di beni, sistemi e servizi ICT destinati ad essere impiegati su reti, sistemi informativi e per l’espletamento dei servizi, dovrà essere limitata al rispetto di requisiti di sicurezza (si pensi al lavoro che potrà svolgere il CVCN scortato dalle norme della L. 133/2019 in tema di forniture di beni e servizi e verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità note, “anche in relazione all’ambito d’impiego”, dettando, se del caso “anche prescrizioni di utilizzo al committente”).

Un ulteriore fattore di potenziamento del presidio, potrebbe essere attuato mediante un lavorio analitico/informativo da parte del DIS rispetto a “fattori extra-tecnici, e collegati alle politiche e ai sistemi legali vigenti nei Paesi terzi, con i quali vengano instaurati rapporti per la fornitura di servizi e prodotti” (per citare ancora la relazione del COPASIR sul 5G): infatti, proprio alla luce dell’art. 1, comma 2, lett. b) del D.L. 105/2019 (come modificato dalla legge di conversione L. 133/2019), il DIS avrà a disposizione l’ elenco delle reti, dei sistemi informativi e dei servizi informatici, di pertinenza dei soggetti rientranti nel perimetro di sicurezza cibernetica, e soprattutto tale elenco sarà comprensivo della relativa architettura e componentistica.

Le possibili leve d’intervento in caso di verifica dell’esistenza di fattori di rischio per la sicurezza nazionale che siano mitigabili, possono essere quelle predisposte dall’art , co. 6, lett. c), dove la Presidenza del Consiglio dei Ministri ed il MISE, nell’ambito della rispettiva competenza, potranno svolgere “attività di ispezione e verifica” (soprattutto, in relazione al rispetto ed applicazione delle misure di sicurezza di cui all’Art. 1, comma 3, lett. b) del D.L. 105/2019), intervento che potrà essere effettuato ex ante anche nel caso di forniture di beni , sistemi e servizi ICT (cfr. Art. 1, comma 6, lett. c).

Nel caso in cui i fattori di rischio non siano mitigabili, sarà possibile esercitare la facoltà, in capo al Presidente del Consiglio su deliberazione del CISR, di disporre la disattivazione totale o parziale di uno o più apparati o prodotti impiegati nelle reti, nei sistemi o nei servizi interessati.

Conclusioni

In definitiva, ci si trova dinanzi ad un reale cambio di paradigma che vede la c.d. rivoluzione digitale raggiungere ed inglobare persone, oggetti, industrie e nazioni, come una sorta di “avvicinamento” tra il mondo fisico e “reale”, con quello astratto del “digitale”.

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Network Security

Detto in altre parole, i domini cibernetici si avvicinano molto di più ai domini “umani”, aprendo potenzialmente a scenari in cui i possibili impatti generabili da attacchi nel cyber domain, potranno più facilmente portare a conseguenze “fisiche”, e molto probabilmente le filosofie dello “scontro”, attraverso l’utilizzo del braccio cibernetico, vi si adegueranno velocemente.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2