MENU
13. 11. 2020
Tomáš Sekera
Uncategorized @cs

5G – velký potenciální přínos i nebezpečí

Technologie sítí páté generace (5G) nabízí ohromné příležitosti, je mnohem robustnější, ale také mnohem složitější na zabezpečení, než dosavadní sítě. Nový telekomunikační standard přináší rapidní zvýšení přenosové rychlosti dat a mnohem nižší odezvu (latenci), což umožní rozvoj moderních technologií, které byly až dosud právě těmito parametry limitované.

Pro účely tohoto článku mluvíme primárně o vysokofrekvenčním pásmu nad 6 GHz, které je nyní prakticky nevyužívané, protože v minulosti neexistovaly technologie, jež by umožňovaly realizovat plošné pokrytí. To už ale dneska neplatí. A i když bude výstavba infrastruktury velice drahá, pásmo nad 6 GHz umožní používání nejmodernějších vychytávek a odstartuje novou úroveň průmyslu 4.0.

Jedním z důvodů, proč bude síť 5G více ohrožená, je fakt, že útočníci získají mnohem více vektorů útoku. Tato technologie je totiž založená na myšlence propojení ohromného množství různých zařízení. A ta budou dohromady tvořit prostředí, jemuž říkáme internet věcí (internet of things – IoT). Očekává se, že počet mobilních IoT připojení poroste ročně o 27 %, což bude v roce 2024 činit 4,1 miliardy zařízení. A to už je pořádně velké herní pole pro jakéhokoli hackera.

Vzestup a úskalí smart technologií

Předpokládá se, že v čele transformace na sítě 5G budou obory jako je zdravotnictví, logistika, energetika nebo informatika. Všichni se těšíme na úžasné věci, jako jsou chytrá města (smart cities), doprava, továrny atd. Jednotlivé obory průmyslu se připravují na 5G, aby tak co nejvíce vytěžily z možností, které přináší IoT, Big data a umělá inteligence (AI).

Má to ale jeden háček. IoT zařízení se stávají cílem útočníků, protože se dají převzít a poté zneužít jako tzv. botnety. Ty pak automatizovaně provádějí volumetrické DDoS (distributed denial of service) útoky za účelem ochromení sítí a infrastruktury pomocí ohromného množství dat.

Nebezpečí je o to větší, když si představíte, v jakých segmentech najde 5G opravdu revoluční uplatnění. Jedná se třeba chytrý provoz infrastruktury měst či regionů, samořiditelná auta, chytré řízení dopravy nebo záchranného systému. To jsou ale kritické oblasti, kde v případě výpadku nebo narušení sítě hrozí, že dojde ke katastrofě a budou ohroženy tisíce nebo miliony životů. „Co se stane když hackeři například vypnou přívod vody do města nebo získají přístup ke konvoji dopravních dronů?“ táže se Russ Mohr, technický ředitel společnosti MobileIron.

Díky narušení může dojít nejen k dopravnímu kolapsu. Samořiditelná auta vyžadují velkou rychlost a krátkou odezvu (to by síť 5G při přenosové rychlosti až 10 Gb/s a téměř nulové odezvě měla splňovat). Tento požadavek totiž úzce souvisí s bezpečností. Nedostatečná odezva znamená pozdní reakci řídicí jednotky, což může skončit až fatální nehodou. Dá se to zjednodušeně přirovnat k rozdílu mezi reakcí opilého a střízlivého řidiče. Když se útočníkovi podaří síť jakkoli narušit, může to způsobit kolaps dopravy po celém městě, zranění a ztráty na životech.

Technologie 5G tedy bude vyžadovat výjimečnou úroveň zabezpečení. Toho ale bez spolupráce všech zúčastněných stran nelze dosáhnout. Musí se spojit mobilní operátoři, poskytovatelé fyzické infrastruktury, zařízení, security služeb i jednotlivé obory, například automobilový průmysl a IT, a v neposlední řadě regulátoři.

Architektura 5G bude totiž bude z podstaty věci mnohem více propojená než současné ostrůvky oddělených sítí a funkcionalit. „Dneska, když selže jeden oddělený článek, například služba SMS, ovlivní to pouze jednu část služeb v jedné síti,“ říká Alex Farrant, bezpečnostní specialista z Context Information Security. „Sdílená infrastruktura technologie 5G může potenciálně způsobit masový výpadek napříč mnoha sítěmi.”

Prudký nárůst volumetrických DDoS útoků

Již jsme uvedli, že 5G sítě propojí nespočet zařízení – od běžných zařízení ve firmách až po IoT zařízení. A to prudce zvyšuje pravděpodobnost útoku. Očekává se, že se zvedne počet DDoS útoků na základě IoT a dalších útoků zneužívajících zranitelností na zařízeních / v aplikacích. Aby se dalo těmto útokům čelit, budou se muset všichni hráči spojit a vytvořit sdílený bezpečnostní model podobný zabezpečení veřejného cloudu. Dá se říct, že ochrana proti DDoS bude pravděpodobně nejdůležitějším prvkem zabezpečení sítě 5G.

Jak počet 5G zařízení zranitelných vůči útokům poroste, bude ochrana proti volumetrickým DDoS útokům stát organizace stále více peněz. Standardní formy zabezpečení ale nemusí stačit, protože se násobně zvedne kapacita provozu. A to už bude vyžadovat technologie typu AI (umělá inteligence) a ML (strojové učení). Takové technologie již dnes samozřejmě existují, například řešení FlowGuard od naší společnosti ComSource. Ale i to se do budoucna bude muset stát součástí vyššího celku.

Další rizika

5G technologii budou ohrožovat i další hrozby. Například pokročilé trvalé hrozby, zranitelnosti ve vrstvě webových aplikací, zabezpečení API a další. A to bude znamenat nutnost velmi důkladného zabezpečení. A díky úzkému propojení se prudce zvýší nároky také na vzájemnou konfiguraci a orchestraci, noční můry mnoha správců infrastruktury a sítí.

Další riziko představuje protokol, který umožňuje přejít na připojení 4G nebo 3G v případě, že nebude dostupný 5G signál. Jakmile zařízení 5G přejde na nižší generaci připojení, vystavuje se zranitelnostem, které v předcházejících generacích protokolu nebylo nutné řešit.

„Při přepínání z 5G na 3G nebo 4G spoléhá architektura na hladký přechod mezi oběma sítěmi,“ říká Nick McQuire, viceprezident pro podnikový výzkum ve společnosti CCS Insight. „Jak ale může operátor zajistit, že přechod nemá žádnou slabinu?“ ptá se.

Neméně problematičtí mohou být dodavatelé 5G technologií. Nedávno se objevily obavy z potenciální hrozby poskytovatele infrastruktury, čínské firmy Huawei, která získala povolení k nasazení méně kritických částí národní 5G sítě ve Velké Británii (cca 35 %). Nicméně, protože byla vyhodnocena jakožto vysoce rizikový dodavatel, vláda krátce na to otočila a rozhodla, že do roku 2027 nesmí být v britské síti ani jedna komponenta od této firmy.

Mnozí odborníci i politici se totiž obávají, že si výrobce připraví tzv. „zadní vrátka“, což mu umožní sledovat uživatelská data. Nejen kvůli této obavě připravila Evropská komise návod, který má pomoci evropským zemím zkoordinovat přístup k zavedení 5G. Na zavedení 5G standardů a specifikací pracují i další úřady a regulátoři.

Bude 5G bezpečnější než 3G a 4G?

Jak se hrací pole pro hrozby a útoky rozšiřuje, bude zabezpečení 5G jistě složité. Avšak pokud se problémy budou řešit, bude technologie 5G díky lepšímu šifrování bezpečnější než 3G či 4G, říká Daniel Valle, hlavní inženýr ze společnosti World Wide Technology. „Každá nástupná generace je bezpečnější než ta předchozí, a to se u 5G nezmění,“ říká.

Jádro mobilní sítě bylo vždy provozováno v několika datových centrech. Veškerý mobilní provoz byl před zpřístupněním aplikačních služeb poskytovaných poskytovatelem služeb, např. účtů koncových uživatelů nebo aplikace tzv. walled garden, směrován do jádra, nebo odeslán přes internet do cloudových sítí či služeb třetích stran. Tyto sítě byly navrženy tak, aby zvládly stovky milionů připojení a poskytovaly připojení v řádu megabitů.

Nově však čelíme výzvě v podobě několika miliard připojených zařízení, rychlosti v řádu gigabitů a ultra nízké latence. A zároveň je zde požadavek na poskytování tzv. rich context v mobilní síti (strukturovaná data s přidanou hodnotou). K tomu připočítejte nutnost navýšení výpočetního výkonu. Poskytovatelé služeb by tedy měli urychleně navýšit kapacitu sítě a flexibilitu nasazování. Otázkou je, jak toho dosáhnout bez zvyšování nákladů a/nebo snížení spolehlivosti a dostupnosti infrastruktury a služeb.

Nicméně, nacházíme se v rané fázi a architektura 5G umožňuje mobilním operátorům nabízet podnikům bezpečnostní přehledy. „Provozovatel je schopen poskytovat vizibilitu provozu probíhajícího v síti, což znamená, že firmy vidí anomálie nebo když se někdo pokouší zachytit ,“ říká Nick McQuire.

Dále by bezpečnost mohlo zvýšit i rozdělení sítě (tzv. network slicing), které umožňuje mobilním operátorům efektivně rozdělit síť na různé případy použití nebo požadavky. McQuire uvádí, že slicing může zvýšit zabezpečení, protože je to „skoro jako váš vlastní soukromý kanál“. A „když při útoku na veřejnou síť například spadne síť Vodafonu, zbytek rozděleného prostředí by teoreticky měl odolat,“ dodává.

Je bezpečnost 5G sdílenou odpovědností?

Kdo je ale za bezpečnost 5G sítí odpovědný? Podle McQuira jsou to teď v začátcích primárně dodavatelé služeb a infrastruktury. Ti by se měli spojit a společně zvažovat pro a proti přijatých opatření a řešení.

V mnoha ohledech se technologie 5G chová dle „modelu sdílené odpovědnosti“, podobně jako cloudové služby, říká Todd Kelly, hlavní bezpečnostní ředitel společnosti Cradlepoint. A dodává: „Úřady stanovující standardy určují, jak implementovat bezpečnou síťovou 5G architekturu a operátoři jsou zodpovědní za bezpečnost sítě.“

Za přenos dat přes sítě jsou zodpovědné jednotlivé společnosti. „Ale operátoři mobilních sítí se musí naučit monitorovat své sítě a služby s tím, že rizika hrozí neustále, a vyvíjet další bezpečnostní kontroly na základě vznikajících hrozeb,“ podotýká Kelly. Výsledkem této spolupráce pak bude end-to-end bezpečný 5G ekosystém.

Je důležité, aby si všechny organizace uvědomily, že technologie 5G přináší nejen nové možnosti, ale také bezpečnostní problémy a rizika. A také, aby se na ně připravily. Protože jedna věc je jistá: „Má-li se vize 5G stát skutečností, je její bezpečnosti potřeba věnovat hodně pozornosti,“ uzavírá Nick McQuire.

Zdroje:

https://www.globenewswire.com/news-release/2020/10/16/2109718/0/en/5G-and-its-Cybersecurity-Implications-for-Enterprises-2020-Report-Opportunities-in-IoT-Security-Services-DDOS-Mitigation-Services-Endpoint-Security-Secure-SD-WAN.html

https://www.csoonline.com/article/3567450/security-challenges-facing-the-shift-to-5g.html

https://www.theguardian.com/technology/2020/jul/14/huawei-to-be-stripped-of-role-in-uk-5g-network-by-2027-dowden-confirms

Sdílejte tento článek na sociálních sítích

Kam dál