Pubblicata la relazione UE sulla sicurezza della rete 5G di Open RAN

L'Unione Europea ha pubblicato una relazione in cui sono esaminate le criticità dell'architettura di rete 5G fornita da Open RAN.

L’11 maggio 2022 gli Stati membri dell'UE, con il sostegno della Commissione europea e dell'ENISA, l'Agenzia dell'UE per la cibersicurezza, hanno pubblicato una relazione sulla cibersicurezza di Open RAN.
Si tratta del nuovo tipo di architettura di rete 5G che, nei prossimi anni, fornirà modalità alternative di realizzazione della parte di accesso radio delle reti 5G basata su interfacce aperte. La relazione compie un ulteriore passo avanti verso un coordinamento europeo sulla cibersicurezza delle reti 5G.
La tempestiva diffusione di reti 5G sicure è una priorità assoluta per l'Unione europea che, in tal senso, ha realizzato un pacchetto di strumenti dell'UE per il 5G che comprende misure strategiche e tecniche e azioni corrispondenti per rafforzarne l'efficacia. Tra le principali misure del pacchetto di strumenti per il 5G figurano il rafforzamento dei requisiti di sicurezza, la valutazione dei profili di rischio dei fornitori, l'applicazione delle restrizioni pertinenti per i fornitori considerati ad alto rischio, comprese le necessarie esclusioni per i principali asset considerati critici e sensibili e la predisposizione di strategie per garantire la diversificazione dei fornitori ed evitare le dipendenze.
Per portare avanti e approfondire il processo di coordinamento dell'UE sulla cibersicurezza del 5G, la strategia dell'UE per la cibersicurezza del dicembre 2020 ha individuato tre obiettivi chiave:

  • garantire un'ulteriore convergenza negli approcci di attenuazione dei rischi in tutta l'UE,
  • sostenere lo scambio continuo di conoscenze e lo sviluppo di capacità
  • promuovere la resilienza della catena di approvvigionamento e altri obiettivi strategici di sicurezza dell'UE.

 
I cittadini e le imprese dell'UE che utilizzano applicazioni abilitate dal 5G e le future generazioni di reti di comunicazione mobile dovrebbero beneficiare dei più elevati standard di sicurezza. Dando seguito al lavoro coordinato già svolto a livello dell'UE per rafforzare la sicurezza delle reti 5G con il pacchetto di strumenti dell'UE sulla cibersicurezza del 5G, gli Stati membri hanno analizzato le implicazioni per la sicurezza di Open RAN.
In base a quanto rilevato dalla relazione, Open RAN potrebbe consentire una maggiore diversificazione dei fornitori all'interno delle reti nella stessa area geografica. Ciò potrebbe contribuire a realizzare la raccomandazione indicata del pacchetto di strumenti dell'UE per il 5G, secondo cui ciascun operatore dovrebbe disporre di un'adeguata strategia multi fornitore. Open RAN potrebbe inoltre contribuire ad aumentare la visibilità della rete grazie all'uso di interfacce e standard aperti, a ridurre gli errori umani attraverso una maggiore automazione e ad aumentare la flessibilità attraverso il ricorso alla virtualizzazione e a soluzioni basate sul cloud.
Tuttavia, Open RAN non ha ancora raggiunto la maturità necessaria e la cibersicurezza rimane una sfida importante. In particolare nel breve termine, Open RAN, aumentando la complessità delle reti, aggraverebbe una serie di rischi per la sicurezza, tra cui figurano una superficie di attacco più ampia e più punti di ingresso per i soggetti malintenzionati, un maggiore rischio di configurazione errata delle reti e potenziali impatti su altre funzioni di rete a causa della condivisione delle risorse.
Per attenuare tali rischi e sfruttare le potenziali opportunità di Open RAN, la relazione raccomanda una serie di azioni basate sul pacchetto di strumenti dell'UE per il 5G, in particolare:

  • utilizzare i poteri di regolamentazione al fine di poter esaminare i piani degli operatori mobili per la diffusione di Open RAN su larga scala e limitare, vietare e/o imporre requisiti o condizioni specifici per la fornitura, la diffusione su larga scala e il funzionamento delle apparecchiature di rete Open RAN;
  • rafforzare i controlli tecnici sull'autenticazione e l'autorizzazione, e adattare la progettazione del monitoraggio a un ambiente modulare che preveda il controllo di ciascun componente;
  • valutare il profilo di rischio dei fornitori di Open RAN;
  • colmare le carenze nello sviluppo delle specifiche tecniche: il processo dovrebbe rispettare i principi fondatori dell'Organizzazione mondiale del commercio (OMC);
  • includere quanto prima i componenti di Open RAN nel futuro sistema di certificazione della cibersicurezza del 5G, attualmente in fase di sviluppo.

Per quanto riguarda la protezione e il consolidamento delle capacità dell'UE in questo mercato, dovrebbe essere mantenuta una regolamentazione tecnologicamente neutra per promuovere la concorrenza.
Nel complesso la relazione raccomanda un approccio prudente al passaggio verso questa nuova architettura. Per la transizione da tecnologie esistenti e affidabili e la coesistenza con le stesse sono necessari tempo e risorse sufficienti per valutare in anticipo i rischi, attuare misure di attenuazione adeguate e definire chiaramente le responsabilità in caso di guasto o incidente.
Ulteriori informazioni sono disponibili sul portale dedicato.