Valikko

EU:n jäsenvaltiot julkaisevat raportin 5G-verkkojen turvallisuutta koskevasta koordinoidusta riskinarvioinnista

EU2019FI 9.10.2019 15.30
Tiedote
Kuva: Elena Uskola, valtioneuvoston kanslia

Jäsenvaltiot julkaisivat 9. lokakuuta Euroopan komission ja EU:n kyberturvallisuusviraston tuella korkean tason raportin EU:n koordinoidusta verkkoturvallisuutta koskevasta riskinarvioinnista viidennen sukupolven verkoissa (5G). Tämä merkittävä askel on osa maaliskuussa 2019 annetun Euroopan komission suosituksen täytäntöönpanoa 5G-verkkojen korkean kyberturvallisuustason varmistamiseksi kaikkialla EU:ssa.

5G-verkot ovat tulevaisuuden selkäranka yhä digitalisoituneemmissa talouksissa ja yhteiskunnissa. Kyse on miljardeista yhdistetyistä esineistä ja järjestelmistä, myös kriittisillä aloilla, kuten energia-, liikenne-, pankki- ja terveydenhuoltoalalla, sekä arkaluonteista informaatiota välittävistä ja turvallisuusjärjestelmien toimintaa tukevista teollisuuden hallintajärjestelmistä. Tämän vuoksi on erittäin tärkeää varmistaa 5G-verkkojen turvallisuus ja kestävyys.

Raportti perustuu kaikkien EU:n jäsenvaltioiden tekemien kansallisten kyberturvallisuusriskien arviointien tuloksiin. Siinä yksilöidään tärkeimmät uhkatekijät, valmiuksien herkkyydet, tärkeimmät haavoittuvuudet (sekä tekniset että muunlaiset) sekä joukko strategisia riskejä.

Arviointi tarjoaa perustan riskejä vähentävien toimenpiteiden tunnistamiselle, joita voidaan soveltaa kansallisella ja eurooppalaisella tasolla.

EU:n koordinoidun riskinarvioinnin tärkeimmät näkemykset

Raportissa yksilöidään useita merkittäviä turvallisuushaasteita, joita todennäköisesti esiintyy enemmän 5G-verkoissa verrattuna olemassa olevien verkkoihin.

Nämä turvallisuushaasteet liittyvät pääasiassa:

  • 5G-teknologian keskeisiin innovaatioihin (jotka myös tuovat useita turvallisuusparannuksia), erityisesti 5G:n mahdollistamaan ohjelmistojen tärkeään osaan sekä laajaan valikoimaan palveluja ja sovelluksia;
  • toimittajien rooliin 5G-verkkojen rakentamisessa ja käytössä sekä riippuvuuteen yksittäisistä toimittajista.

5G-verkkojen käyttöönotolla odotetaan olevan erityisesti seuraavat vaikutukset:

  • Hyökkäyksille altistumisen ja hyökkäyspaikkojen lisääntyminen: Koska 5G-verkot perustuvat yhä enemmän ohjelmistoihin, merkittäviin tietoturvavikoihin liittyvät riskit, kuten toimittajien huonoista ohjelmistokehitysprosesseista johtuvat riskit, tulevat merkittävämmiksi. Tällaiset riskit voivat myös helpottaa uhkaavia toimijoita piilottamaan takaportteja tuotteisiin ja vaikeuttaa niiden havaitsemista.
  • 5G-verkkoarkkitehtuurin uusien ominaisuuksien ja toimintojen vuoksi tietyt verkkolaitteet tai -toiminnot, kuten tukiasemat tai verkkojen keskeiset tekniset hallintatoiminnot, ovat herkempiä.
  • Lisääntynyt altistuminen riskeille, jotka liittyvät matkaviestinverkko-operaattoreiden riippuvuuteen toimittajista. Tämä johtaa myös suurempaan määrään hyökkäysreittejä, joita uhkaavat toimijat voisivat hyödyntää, ja lisää tällaisten hyökkäysten mahdollisten vaikutusten vakavuutta. Mahdollisten uhkatekijöiden joukossa EU:n ulkopuolisia valtioita tai valtion tukemia toimijoita pidetään vakavimpina ja todennäköisimpinä toimijoina 5G-verkkoihin kohdistuvissa hyökkäyksissä.
  • Kun altistuminen toimittajien mahdollistamille hyökkäyksille lisääntyy, yksittäisten toimittajien riskiprofiilien tärkeys kasvaa, mukaan luettuna todennäköisyys, että EU:n ulkopuolinen maa sekaantuu toimittajan toimintaan.
  • Riskien lisääntyminen johtuen merkittävästä riippuvuudesta toimittajiin: huomattava riippuvuus yhdestä toimittajasta lisää altistumista mahdolliselle toimituskatkokselle, joka johtuu esimerkiksi kaupallisesta epäonnistumisesta ja sen seurauksista. Se myös pahentaa heikkouksien tai haavoittuvuuksien mahdollisia vaikutuksia ja mahdollistaa hyväksikäyttöä uhkaavien toimijoiden osalta erityisesti silloin, kun riippuvuus koskee korkeamman riskin omaavaa toimittajaa.
  • Verkkojen käytettävyyteen ja eheyteen kohdistuvista uhista tulee merkittäviä turvallisuusongelmia: 5G-verkoista odotetaan tulevan monien kriittisten tietotekniikkasovellusten selkäranka, mistä johtuen näiden verkkojen eheys ja käytettävyys aiheuttaa merkittäviä kansallisia turvallisuusongelmia ja turvallisuushaasteen EU:n näkökulmasta, luottamuksellisuuteen ja yksityisyyteen liittyvien uhkien lisäksi. 

Nämä haasteet luovat yhdessä uuden turvallisuusparadigman, minkä vuoksi on välttämätöntä arvioida uudelleen tämän sektorin ja sen ekosysteemin nykyistä politiikka- ja turvallisuuskehystä. Lisäksi on välttämätöntä, että jäsenvaltiot toteuttavat tarvittavat riskejä lieventävät toimenpiteet.

Euroopan kyberturvallisuusviraston uhkakuvat: Jäsenvaltioiden raporttien täydentämiseksi Euroopan kyberturvallisuusvirasto viimeistelee 5G-verkkoihin liittyvää erityistä uhkakuvien kartoitusta, jossa tarkastellaan tarkemmin tiettyjä raportissa käsiteltyjä teknisiä näkökohtia. 

Seuraavat toimet

Verkko- ja tietoturva-alan yhteistyöryhmän tulisi 31.12.2019 mennessä sopia mahdollisten toimenpiteiden keinovalikoimasta, jolla voidaan lieventää tunnistettuja kyberturvallisuusriskejä kansallisella ja EU:n tasolla.

Jäsenvaltioiden tulisi yhteistyössä komission kanssa 1.10.2020 mennessä arvioida suosituksen vaikutuksia ja määrittää mahdollinen lisätoimien tarve. Arvioinnissa olisi otettava huomioon koordinoidun eurooppalaisen riskinarvioinnin tulokset ja toimenpiteiden tehokkuus.   

Tausta

Saatuaan Eurooppa-neuvoston tuen komissio antoi 26.3.2019 suosituksen 5G-verkkojen kyberturvallisuudesta, jossa jäsenvaltioita kehotetaan saattamaan kansalliset riskinarvioinnit päätökseen ja tarkistamaan kansalliset toimenpiteet sekä tekemään EU:n tasolla yhteistyötä koordinoidun riskinarvioinnin ja lieventävien toimenpiteiden valikoiman osalta.

Kansallisella tasolla kukin jäsenvaltio on suorittanut kansallisen riskinarvioinnin 5G-verkkoinfrastruktuureista ja toimittanut tulokset komissiolle ja Euroopan unionin kyberturvallisuusvirastolle ENISA:lle. Kansallisissa riskinarvioinneissa tarkasteltiin komission suosituksen mukaisesti erityisesti tärkeimpiä 5G-verkkoihin vaikuttavia uhkatekijöitä, 5G-valmiuksien herkkyyttä ja sekä teknisiä että muunlaisia haavoittuvuuksia, kuten 5G-toimitusketjusta mahdollisesti aiheutuvia haavoittuvuuksia.