Nedelja, 13. 12. 2020, 14.43
3 leta, 11 mesecev
Intervju: dr. Uroš Svete, direktor Uprave RS za informacijsko varnost
"Zagotavljanje kibernetske varnosti je neprimerljivo pomembnejše kot v preteklosti"
Peta generacija mobilnih komunikacij prinaša korenito nadgradnjo strukture sodobne družbe, zato poleg vseh že od prej obstoječih izzivih kibernetske varnosti prinaša številne nove – tudi takšne, ki so neločljivo povezane z nacionalno varnostjo, je povedal naš sogovornik.
Kje vidite največjo prednost in vlogo pete generacije mobilne telefonije?
Ne bi govoril o peti generaciji mobilne telefonije, temveč o peti generaciji mobilnih komunikacij, kajti prenosne pametne naprave že dolgo ne omogočajo le prenosa govora. Peta generacija mobilnih omrežij bo torej omogočila več omrežno povezanih naprav in uporabnikom znatno povečala hitrost prenosa podatkov.
Kako bomo to uporabniki začutili?
V prihodnosti se bodo lahko izvajali bolj kompleksni procesi na daljavo, na primer droni za dostavo ali kirurški roboti. Preko 5G-povezav bodo potekali nekateri procesi sistemov upravljanja in nadzora za prometne, energetske in vodne objekte. Izvajale se bodo nujne in zdravstvene intervencije: storitve za reševanje življenj imajo velike koristi od naprav 5G, brezpilotna letala bodo lahko hitreje dosegla lokacijo dogodka, možna bo dostava prve pomoči in opreme ali celo za prevoz žrtve do najbližjega zdravstvenega centra.
"Ne bi govoril o peti generaciji mobilne telefonije, temveč o peti generaciji mobilnih komunikacij, kajti prenosne pametne naprave že dolgo ne omogočajo le prenosa govora."
Kje je potem največja revolucija, ki jo prinaša 5G?
V količini prenesenih podatkov, kjer se bodo mobilna omrežja precej izenačila z žičnimi. In večja možnost prenesenih podatkov pomeni večjo količino zbranih in obdelanih podatkov in s tem večjo družbeno odvisnost od tovrstnih tehnologij.
Zakaj menite, da je tehnologija 5G sprožila veliko več polemike kot vse njene predhodnice?
Predvsem zato, ker bodo mobilna omrežja pete in kasnejših generacij za razliko od predhodnih generacij mobilnih omrežij sestavljala osnovno hrbtenico celotnih vertikal sodobne družbe. Zagotavljanje kibernetske varnosti v teh omrežjih je neločljivo povezano z zagotavljanjem nacionalne varnosti in kot tako neprimerljivo pomembnejše, kot je bilo v preteklosti.
"Mobilna omrežja pete in kasnejših generacij bodo za razliko od predhodnih generacij mobilnih omrežij sestavljala osnovno hrbtenico celotnih vertikal sodobne družbe."
Brezžična tehnologija pete generacije bo hrbtenica prihodnjih gospodarstev in javnih storitev. Na novo povezane mreže bodo kritično odvisne od novih inovativnih aplikacij. Polemike pa se sprožajo tudi zato, ker se bodo zlasti na aplikativnem nivoju gotovo pojavile nove storitve, ki bodo dodobra premešale trg in tudi mednarodne odnose, zato je logično, da obstoječi "igralci" niso navdušeni nad spremembami.
Ali je izziv v varnosti tehnologije ali kje drugje v povezavi z njo?
Izziv je tako v varnosti tehnologije kot v ogromni količini podatkov, ki se bodo na omrežju prenašali in shranjevali. Z dramatičnim povečanjem števila povezanih naprav pride do naravnega širjenja površine napada in intenzivnosti grožnje. Ponudniki storitev 5G bodo imeli obsežen dostop do velikih količin podatkov, ki jih pošiljajo uporabniške naprave, ki bi lahko natančno prikazovale, kaj se dogaja v uporabnikovem domu in vsaj z metapodatki opisovale njihovo bivalno okolje, lastne senzorje in druge parametre.
Višje frekvence imajo tudi krajši doseg, zato se potrebuje več baznih postaj, ki bodo postavljene v gostih mestnih središčih. S pravim naborom orodij bi lahko nekdo zbral in sledil natančni lokaciji uporabnikov. Eden izmed izzivov pa je tudi, kako nadzirati vse bolj kompleksna omrežja predvsem s tehničnega zornega kota, kajti tudi na drugih področjih je v zadnjih letih postalo popolnoma jasno, da navidezni prosti trg ne more sam opravljati regulatorne vloge.
Kakšne so specifične zahteve kibernetske varnosti pri 5G, ki jih prej morda nismo poznali ali vsaj ne do te mere?
Vse zahteve kibernetske in širše informacijske varnosti iz prejšnjih generacij omrežij veljajo tudi za omrežja 5G. Je pa ravno zaradi zgoraj omenjenega pomena omrežij 5G za moderne družbe treba upoštevati tudi širše varnostne vidike. Tako je postalo zelo pomembno tudi vprašanje izbora dobaviteljev opreme in izvajalcev upravljanih storitev (t. i. podpora tretje ravni).
Brezžična tehnologija pete generacije bo hrbtenica prihodnjih gospodarstev in javnih storitev. Na novo povezane mreže bodo kritično odvisne od novih inovativnih aplikacij.
V obeh primerih mora biti zagotovljeno, da ponudniki opreme in storitev niso podvrženi zunanjim vplivom, ki bi to lahko izkoristili za izvajanje pritiska na celotne države. Po izkušnji s trenutno zdravstveno krizo, ki je otežila delovanje dobavnih verig, pa tudi omejitve in sankcije na tehnološkem področju, je še kako na mestu tudi vidik sposobnosti dobaviteljev za zagotavljanje dobave opreme in storitev.
Kolikšno breme odgovornosti glede zagotavljanja kibernetske varnosti pada na proizvajalce omrežne infrastrukture, koliko na operaterje, uporabnike, strokovna združenja, državne organe?
Vsi našteti nosijo svoj del odgovornosti. Proizvajalci opreme morajo poskrbeti, da je strojna in programska oprema narejena z uporabo najboljših inženirskih praks in v skladu s standardi, da nima skritih stranskih vrat in da je pred nastopom na trgu ustrezno varnostno testirana in preverjena.
"Z dramatičnim povečanjem števila povezanih naprav pride do naravnega širjenja površine napada in intenzivnosti grožnje."
Operaterji morajo poskrbeti, da je oprema pravilno konfigurirana in redno posodabljana, za kar morajo stalno zagotavljati ustrezno strokovnost svojih ekip, poleg tega pa morajo imeti dober nadzor nad svojimi podizvajalci. Strokovna združenja imajo odgovornost na področjih razvoja in uporabe standardov, razvoja kadrov ter ozaveščanja tako uporabnikov kot odločevalcev.
Država mora zagotoviti predvidljiv pravni okvir, ki vključuje dolgoročne varnostne vidike, poleg tega pa mora skrbeti, da zakonodaja sledi hitremu tehničnemu napredku. In na koncu pridemo na vrsto uporabniki, ki lahko s svojim ravnanjem podkrepimo ali pa izničimo vse prej našteto. Tukaj je zelo pomembno ozaveščanje pa tudi zavedanje, da smo tako kot v fizičnem svetu tudi v kibernetskem prostoru sami odgovorni za svoja dejanja.
Kako se določajo varni in nevarni dobavitelji komunikacijske infrastrukture? Ali ta delitev sploh obstaja, kdo to opredeljuje in razvršča?
Evropska komisija oziroma v njenem imenu Skupina za sodelovanje na področju varnosti omrežij in informacij je v oceni kibernetskih tveganj v omrežjih 5G iz oktobra 2019, ki je bila pripravljena na osnovi tovrstnih nacionalnih ocen in usklajena na ravni EU, državam za določitev profilov tveganja dobaviteljev opreme in storitev priporočila presojo po šestih kriterijih. Ti predstavljajo osnovni nabor, ki zagotavlja primerljivost med državami, države pa lahko nabor tudi razširijo.
Kateri so kriteriji?
Močne povezave med dobaviteljem in vlado določene tretje države, zakonodaja tretje države, zlasti če ni vzpostavljen zakonodajni ali demokratični sistem nadzora in ravnotežja ali če ne obstajajo sporazumi o varnosti ali varstvu podatkov med EU in določeno tretjo državo, značilnost lastniške strukture podjetja dobavitelja, sposobnost tretje države, da izvaja kakršno koli obliko pritiska, tudi v zvezi s krajem proizvodnje opreme, sposobnost dobavitelja, da zagotavlja dobavo, splošna kakovost proizvodov in praks dobavitelja na področju kibernetske varnosti, vključno s stopnjo nadzora nad lastno dobavno verigo in morebitno ustrezno prednostno obravnavo varnostnih praks.
"Država mora zagotoviti predvidljiv pravni okvir, ki vključuje dolgoročne varnostne vidike, poleg tega pa mora skrbeti, da zakonodaja sledi hitremu tehničnemu napredku"
Ali bomo uporabniki s 5G bolj ali manj (kibernetsko) varni kot brez njega? Kaj pa države?
Mislim, da je dilema, postavljena v vprašanju, umetna. Razvoj tehnologije je civilizacijski imperativ, na nas pa je, da zagotovimo njeno varno in stabilno uporabo. Države in industrija morajo združiti svoja prizadevanja za spodbujanje varnih tehnoloških projektov 5G, da bi izboljšali storitve in kakovost življenja državljanov. Do velikega napredka v povezavi s 5G bo prišlo predvsem na področju kritične infrastrukture, kot so oskrba z vodo, energetska omrežja, pri vojaških objektih, na področju finančnega poslovanja. Za vsa ta in mnogo novih področij po potrebno uvajati nove varnostne standarde.
Kakšno vlogo bodo pri uvedbi teh standardov morale odigrati države?
Države morajo zato zagotoviti, da podjetja s svojo 5G opremo in programsko opremo ne bodo ogrožala naše nacionalne varnosti, zasebnosti, intelektualne lastnine ali človekovih pravic. Dobri kibernetski odpornosti in ustreznemu odzivu na kibernetske krize bodo države morale namenjati konstantno pozornost, za ustrezno zaščito posameznikov pa bo potrebno intenzivno ozaveščanje uporabnikov.
"Mislim, da je dilema, postavljena v vprašanju, umetna. Razvoj tehnologije je civilizacijski imperativ, na nas pa je, da zagotovimo njeno varno in stabilno uporabo."
Ali obstaja enotni evropski varnostni standard za ponudnike telekomunikacijske infrastrukture, ali države to spoštujejo ali odločajo samostojno?
Standardi na področju tehnologije 5G se še razvijajo. Akt o kibernetski varnosti iz aprila 2019 predvideva vzpostavitev evropskega certifikacijskega okvira za kibernetsko varnost s certifikacijskimi shemami za posamezna področja, tudi za področje tehnologije 5G. Pri pripravi certifikacijske sheme za tehnologijo 5G Evropska komisija sodeluje z združenjema 3GPP in GSMA.
Kaj bo prinesel skupni evropski okvir?
Ko bodo sprejete, bodo skupne evropske certifikacijske sheme nadomestile obstoječe nacionalne sheme in tako poenotile različne ureditve po državah. Usklajen pristop na ravni EU pa se že sedaj izvaja pri implementaciji nabora orodij EU za kibernetsko varnost tehnologije 5G (t. i. 5G Toolbox) s pripadajočimi strateškimi, tehničnimi in podpornimi ukrepi za zagotavljanje kibernetske varnosti v omrežjih 5G.
"Akt o kibernetski varnosti iz aprila 2019 predvideva vzpostavitev evropskega certifikacijskega okvira za kibernetsko varnost s certifikacijskimi shemami za posamezna področja, tudi za področje tehnologije 5G."
Ali Slovenija sledi svetovnim strokovnim trendom zagotavljanja kibernetske varnosti, tako pri 5G kot tudi nasploh?
Lahko rečemo, da se Slovenija trudi slediti trendom zagotavljanja kibernetske varnosti v skladu s svojimi zmožnostmi. Tako kot v drugih državah, majhnih pa tudi večjih, tudi pri nas manjka strokovnjakov s tega področja. To je v dobršni meri posledica v preteklosti pomanjkljivega zavedanja pomena zagotavljanja kibernetske varnosti pri odločevalcih na vseh ravneh tako v javnem kot zasebnem sektorju.
Kako pa kaže za prihodnost?
V zadnjem obdobju so se razmere k sreči pričele spreminjati na bolje. Kot majhna država z omejenimi viri na tako rekoč vseh področjih, moramo čim bolje povezati vse deležnike v sistemu s skupnim ciljem zagotavljanja visoke ravni kibernetske varnosti. Trend je pozitiven, a je pred nami še veliko izzivov.
23