Euroopan unionin jäsenvaltiot julkaisivat muutama viikko sitten komission ja Euroopan kyberturvallisuusviraston tuella raportin 5G-verkkojen kyberturvallisuutta koskevasta koordinoidusta EU-tason riskinarvioinnista. Suosituksella pyritään varmistamaan 5G-verkkojen kyberturvallisuuden korkea taso kaikkialla EU:ssa.

5G-verkot tulevat muodostamaan tulevaisuudessa entistä pidemmälle digitalisoitujen toimintojen selkärangan. Siksi on olennaisen tärkeää varmistaa 5G-verkkojen turvallisuus ja häiriönsietokyky.

Uudet 5G-verkot tulevat yhdistämään yhteiskunnan kriittisiä laitteita, esineitä ja järjestelmiä IoT-tekniikoilla, mutta myös teollisuuden hallintajärjestelmissä, jotka välittävät arkaluonteista informaatiota ja tukevat turvallisuusjärjestelmien toimintaa.

Raportti perustuu kaikkien EU:n jäsenvaltioiden tekemien kansallisten kyberturvallisuuden riskinarviointien tuloksiin. Siinä määritellään tärkeimmät uhat ja uhkatoimijat, herkimmät kohteet, suurimmat haavoittuvuudet (tekniset ja muun tyyppiset) sekä joukko strategisia riskejä.

Raportissa määritellään joukko merkittäviä turvallisuushaasteita, joita todennäköisesti ilmenee tai joista voi tulla merkittävämpiä 5G-verkoissa kuin nykyisissä verkoissa.

Ne liittyvät 5G-teknologian keskeisiin innovaatioihin (jotka tuovat mukanaan myös monia turvallisuusparannuksia); tämä koskee erityisesti ohjelmistojen tärkeää osuutta ja 5G-teknologian mahdollistamien palvelujen ja sovellusten laajaa kirjoa; laitetoimittajien asemaan 5G-verkkojen rakentamisessa ja käytössä sekä riippuvaisuuteen yksittäisistä toimittajista.

Raportin mukaan kasvava altistuminen hyökkäyksille ja hyökkääjien mahdollisesti käyttämien sisääntuloväylien suurempi määrä: Koska 5G-verkot perustuvat entistä enemmän ohjelmistoihin, merkittäviin turvallisuusaukkoihin liittyvät riskit kasvavat.

Tällaiset aukot voivat johtua esimerkiksi laitetoimittajien puutteellisista ohjelmistonkehitysprosesseista. Turvallisuusaukkojen vuoksi uhkatoimijoiden voi myös olla raportin mukaan helpompi asentaa tuotteisiin takaportteja vahingoittamistarkoituksessa ja niitä voi olla vaikeampi havaita.
5G-verkkoinfrastruktuuriin uusien ominaispiirteiden ja uusien toimintojen vuoksi tietyistä verkkolaitteista tai -toiminnoista tulee herkempiä; tämä koskee muun muassa tukiasemia ja verkon keskeisiä teknisiä hallintatoimintoja.

Verkon laitetoimittajat – riippuvuus?

Raportin mukaan suurempi altistuminen riskeille, jotka liittyvät matkaviestinoperaattoreiden riippuvuuteen laitetoimittajista. Tämä johtaa myös suurempaan määrään hyökkäysväyliä, joita uhkatoimijat voivat hyödyntää. Se myös kasvattaa tällaisten hyökkäysten vaikutusten mahdollista vakavuutta.

Mahdollisista toimijoista uhkaavimpina pidetään EU:n ulkopuolisia tai valtiollisia toimijoita. Ne ovat toimijoita, joiden odotetaan todennäköisimmin kohdistavan hyökkäyksensä 5G-verkkoihin.

Tässä ympäristössä, jossa altistumien hyökkäyksille kasvaa raportin mukaan laitetoimittajien myötävaikutuksella, yksittäisten laitetoimittajien riskiprofiilista tulee erityisen tärkeä. Tämä koskee myös todennäköisyyttä, että laitetoimittaja on EU:n ulkopuolisen maan vaikutuksen alainen.

Suuri riippuvuus yhdestä toimittajasta kasvattaa raportin mukaan altistumista esimerkiksi liiketoiminnan lopettamisesta johtuville toimitushäiriöille ja niiden seurauksille. Se myös pahentaa heikkouksien tai haavoittuvuuksien mahdollisia vaikutuksia ja kasvattaa todennäköisyyttä, että uhkatoimijat hyödyntävät niitä, etenkin silloin, kun riippuvaisuus koskee toimittajaa, johon liittyy suuri riski.

Verkkojen saatavuuteen ja eheyteen liittyvistä uhista tulee raportin mukaan merkittäviä turvallisuushaasteita: Koska 5G-verkkojen odotetaan muodostavan pohjan monille kriittisille tietotekniikkasovelluksille, luottamuksellisuuteen ja yksityisyyteen liittyvien uhkien lisäksi myös näiden verkkojen eheydestä ja saatavuudesta tulee tärkeä turvallisuushaaste sekä kansallisesta että EU:n näkökulmasta.

Euroopan kyberturvallisuusviraston uhkakartoitus: Euroopan kyberturvallisuusvirasto täydentää jäsenvaltioiden raporttia erityisen 5G-verkkoihin liittyvän uhkaympäristöstä.

Lokakuun alkuun jäsenvaltiot ovat arvoineen raportin vaatimuksia. Joulukuun loppuun mennessä yhteistyöryhmän tulisi sopia keinoista riskien lieventämiseksi, jotta yksilöityihin kyberturvallisuusriskeihin voidaan puuttua kansallisella ja unionin tasolla.

Lisää: 5G-verkkojen koordinoitua EU-tason riskinarviointia koskeva raportti, 9.10.2019 (LINKKI, pdf) ja Euroopan komission tiedote 5G-tietoturvan selvittämiseksi 26.3.2019 (LINKKI)

Kuvituskuva: Shutterstock

Päivitetty 29.10.2019