Risker förknippade med utrullningen av 5G
Bakgrund
I höst kommer Post- och Telestyrelsen auktionera ut 5G-frekvenser till mobiloperatörer [2]. Tilldelningen ska främja kapaciteten för mobila bredbandstjänster och skapa en plattform för den kommande 5G-utbyggnaden. För den som är villig att delta i Sveriges kommande 5G-utrullning kommer ett lägsta bud i tilldelningen att kosta 1.5 miljarder kronor i 3.5 GHz-bandet och 160 miljoner kronor i 2.3 GHz-bandet. Det sistnämnda gäller endast om det finns konkurrens inom budgivningen, skulle tilldelning ske utan konkurrens inom 2.3 GHz-bandet kommer det kosta en enskild mobiloperatör 400 miljoner kronor. Tyvärr avslutades ansökan om att delta i auktionen den sista juni, så den som vill köpa in sig kan möjligen göra det som underleverantör till någon av de tillståndshavarna som vinner.
5G-tekniken kommer erbjuda en större bandbredd än tidigare tekniker vilket innebär snabbare nedladdningshastigheter, kortare svarstider samt stöd för minst en miljon enheter per km2 [3]. Exempelvis kommer 5G möjliggöra maximala hastigheter på över 10 Gbit/s och svarstider på 1 ms, vilket jämfört med 4G, som har en maximal nedladdningshastighet på 150 Mbit – 1 Gbit/s (beroende på om det är 4G eller 4G LTE) och svarstider på 20-30 ms, är en avsevärd förbättring [3]. Nackdelarna med 5G jämfört med 4G är att tekniken har en högre frekvens som gör att räckvidden på radiovågorna kommer vara kortare och gör att fler master/anslutningspunkter/basstationer kommer behöva byggas.
Det finns fler fördelar och nackdelar med 5G-tekniken som inte kommer diskuteras i denna blogg. Den intresserade läsaren hänvisas till valfri sökmotor för vidare läsning.
Risker med 5G
I oktober förra året släppte EU:s NIS Cooperation Group en rapport som kartlägger riskerna med 5G [1]. Rapporten var ett första steg i den rekommendation som Europeiska kommisionen gav för att säkerställa en hög nivå av säkerhet i 5G-nät inom EU [8]. Några av de riskerna som togs upp i rapporten var följande:
- Ökade attackytor och fler ingångspunkter för angripare.
- Då 5G, i större utsträckning än tidigare tekniker, kommer vara mjukvarubaserad finns potentiella risker relaterat till säkerhetshål i mjukvaran som kan härstamma från osäkra utvecklingsprocesser hos leverantörer som distribuerar och underhåller 5G-produkter.
- Den högre kapaciteten kan komma att medföra att fler IoT-enheter ansluter till 5G-näten. Som beskrivit i en tidigare blogg [6] är IoT-enheter säkerhetsmässigt undermåliga då säkerhet prioriteras lägre än användarvänlighet. Flera av IoT-enheterna förutspås vara samhällskritiska och/eller bidra till fara för liv som exempelvis sjukvårdsutrustning, självkörande bilar, energiförsörjning m.m.
- Nätverksutrustning och -funktioner kommer bli känsligare för störningar och incidenter.
- 5G kommer att ha en decentraliserad arkitektur där känsliga funktioner som i tidigare tekniker har funnits centralt, kommer i 5G att förflyttas till periferin av nätverket. Detta kommer innebära fler ingångspunkter för angripare men även innebära att enheter i periferin av nätverket kommer bli känsligare för störningar. Dessa funktioner som tidigare har funnits centralt har varit förknippade med strikta säkerhets- och tillgänglighetskrav som med 5G måste finnas med i alla funktioner av den decentraliserade arkitekturen. De känsliga funktioner kommer i och med 5G att vara utspridda på fler platser där varje enhet/plats måste upprätthålla samma eller striktare säkerhetskrav som den tidigare centrala platsen, vilket kommer bli en utmaning för leverantörer och mobiloperatörer.
- En ökad riskexponering till följd av mobiloperatörers leverantörsberoende av tredje part.
- Då det saknas en mångfald av leverantörer av 5G-utrustning, där leverantörerna ofta har proprietära lösningar, kan det komma att skapas homogena nätverksmiljöer som inte är interoperabla med andra leverantörers utrustning. Mobiloperatörer som förlitar sig på en enda leverantör kommer inte endast få problem med interoperabilitet men även riskera att leverantören inte kan leverera produkter eller tjänster längre till följd av konkurs eller EU-sanktioner.
- Ett homogent nätverk bidrar även till större konsekvenser om samma leverantör används igenom hela infrastrukturen och en sårbarhet i mjukvaran skulle uppdagas.
- I rapporten beskrivs risker relaterade till otillräckliga säkerhetsåtgärder från mobiloperatörer, men i denna blogg kategoriserar vi det under denna punkt då det kommer bli ett ökat leverantörsberoendet från slutkund. Då vi i Sverige endast har 5 mobiloperatörer som har egna nät [4] där alla utom ett av dessa företag (Net1) samarbetar med varandra, har vi som medborgare ett ökat leverantörsberoende från den mobiloperatör vi väljer att använda. Den större komplexiteten av 5G bidrar till att mobiloperatörer har ett större ansvar att upprätthålla säkerheten i nätverken mot oss som slutkunder.
- Till följd av den låga mångfalden av leverantörer av 5G-utrustning, ökar sannolikheten att en av leverantörerna kan bli tvingade eller är under inflytande av en nationsstat att introducera sårbarheter i utrustningen i övervakningssyfte. Det tidigare blogginlägget angående Crypto AG tog upp de konsekvenser som härstammade från medvetna bakdörrar i produkter där nationer var inblandade [7].
Slutsats
PTS har fått i uppdrag av regeringen att utföra en riskanalys avseende IT-säkerheten i svenska 5G-nätverk [5]. Analysen utförs i samråd med SÄPO, Försvarsmakten, FRA och MSB samt efter hörande av branschorganisationer och marknadsaktörer. Riskanalysen ska vara färdig i höst och den bör producera en samling säkerhetskrav som de mobiloperatörer, och dess underleverantörer, som vinner upphandlingen ska följa.
Vidare bör EU ta fram specifika instruktioner och direktiv för medlemsländer samt för de mobiloperatörer som ska förvalta driften av 5G-näten som minskar riskexponeringen inom unionen.
Referenser
[1] – https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=62132
[2] – https://www.pts.se/sv/nyheter/pressmeddelanden/2020/pts-bjuder-in-till-auktion-av-5g-frekvenser/
[3] – https://www.pts.se/sv/5g/allmant-om-5g/
[4] – https://www.induo.com/s/g/vilka-mobiloperatorer-delar-nat/
[5] – https://www.pts.se/sv/bransch/radio/5g/regeringsuppdrag-for-sakra-5g-nat/
[6] – https://simovits.com/industriell-iot-din-smarta-klocka-kan-vara-en-dodsfalla/
[7] – https://simovits.com/med-sveket-som-vapen/
[8] – https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32019H0534