Meny

Medlemsländer publicerar en rapport om EU:s samordnade riskbedömning av säkerheten i 5G-nät

EU2019FI 9.10.2019 15.30
Pressmeddelande
Foto: Elena Uskola, statsrådets kansli

Den 9 oktober publicerade medlemsländer, med stöd av Europeiska kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet (Enisa), en rapport om EU:s samordnade riskbedömning av it-säkerheten i femte generationens (5G) nätverk. Detta betydande steg är en del av genomförandet av Europeiska kommissionens rekommendation, som antogs i mars 2019, för att säkerställa en hög it-säkerhet i 5G-nät i hela EU.

5G-nät kommer att vara den framtida ryggraden i våra allt mer digitaliserade ekonomier och samhällen. Miljarder av sammankopplade objekt och system berörs, även inom kritiska sektorer som energi, transport, bankverksamhet och hälso- och sjukvårdssystem, och inte minst industriella kontrollsystem med känslig information och stöd för säkerhetssystem. Att säkerställa säkerheten och motståndskraften i 5G-nät är därför mycket viktigt.

Rapporten bygger på resultaten från EU:s alla medlemsländers nationella bedömningar av it-säkerhetsrisker. Den identifierar de huvudsakliga hoten och illvilliga aktörerna, de känsligaste tillgångarna, de huvudsakliga sårbarheterna (inklusive tekniska och andra typer av sårbarheter) och ett antal strategiska risker.

Med utgångspunkt i dessa bedömningar kan man fastställa riskbegränsande åtgärder, som kan tillämpas på nationell och europeiska nivå.

Huvudpunkterna i EU:s samordnade riskbedömning

I rapporten lyfter man fram ett antal betydande säkerhetsutmaningar, som sannolikt kommer att uppstå eller bli mer framträdande i 5G-nät jämfört med läget i befintliga nät.

Dessa säkerhetsutmaningar hänger huvudsakligen samman med

  • 5G-teknikens centrala innovationer (som också medför ett antal specifika säkerhetsförbättringar), i synnerhet den viktiga del av programvara och det stora utbud av tjänster och applikationer som möjliggörs av 5G
  • leverantörernas roll när 5G-nät byggs och drivs samt graden av beroende av enskilda leverantörer.

Särskilt driftsättningen av 5G-nät förväntas få följande effekter:

  • En ökad exponering för angrepp och fler potentiella ingångsvägar för angrepp: Genom att 5G-nät bygger allt mer på programvara blir risker till följd av stora säkerhetsbrister, till exempel sådana som orsakas av leverantörernas bristfälliga processer för programvaruutveckling, allt viktigare. Ingångsvägarna kan också göra det enklare för illvilliga aktörer att i ont syfte installera bakdörrar i produkter och se till att bakdörrarna är svårupptäckta.
  • På grund av nya särdrag hos 5G-nätets arkitektur samt nya funktioner blir vissa nätanordningar eller nätfunktioner känsligare, till exempel basstationerna eller viktiga tekniska styrfunktioner i nätet.
  • En ökad exponering för risker med anledning av mobilnätoperatörernas beroende av leverantörerna. Detta kommer också att leda till ett större antal angreppsvägar som kan utnyttjas av illvilliga aktörer och till att den potentiella allvarlighetsgraden av sådana angrepp ökar. Bland olika potentiella aktörer anses länder utanför EU eller aktörer som backas upp av stater vara de allvarligaste och sannolikaste angriparna av 5G-nät.
  • När exponeringen för angrepp som underlättas av leverantörer ökar kommer enskilda leverantörers riskprofil att bli särskilt viktig, inklusive sannolikheten att leverantören kommer att utsättas för manipulation av ett land utanför EU.
  • Ökade risker till följd av stort beroende av leverantörer: Ett stort beroende av en enda leverantör ökar exponeringen för potentiella leveransstörningar orsakade av till exempel kommersiella misslyckanden och följderna av det. Det förvärrar också den potentiella effekten av svagheter eller brister och illvilliga aktörers eventuella utnyttjande av dem, särskilt när det är fråga om ett beroende av en leverantör som innebär en hög risk.
  • Hot mot nättillgång och näts integritet kommer att bli betydande säkerhetsproblem: Eftersom 5G-nät förväntas bli ryggraden i många kritiska it-tillämpningar kommer integriteten i och tillgången till dessa nät att bli en stor nationell säkerhetsfråga och en stor säkerhetsutmaning ur EU-perspektiv, utöver hoten mot sekretess och den personliga integriteten.

Tillsammans utgör dessa utmaningar ett nytt säkerhetsparadigm. Till följd av den är det nödvändigt att omvärdera den nuvarande ram för politik och säkerhet som tillämpas på sektorn och dess ekosystem och mycket viktigt att medlemsländerna vidtar riskbegränsande åtgärder.

Europeiska unionens byrå för nät- och informationssäkerhets hotbilder: För att komplettera medlemsländernas rapport genomför Europeiska unionens byrå för nät- och informationssäkerhet en specifik hotbildskartläggning av 5G-nät. I den granskas mer i detalj vissa tekniska aspekter som behandlas i rapporten. 

Vad händer nu?

Senast den 31 december 2019 bör samarbetsgruppen för nät- och informationssäkerhet enas om en uppsättning riskbegränsande åtgärder som fokuserar på de it-säkerhetsrisker som identifierats på nationell nivå och EU-nivå.

Senast den 1 oktober 2020 bör medlemsländerna – i samarbete med kommissionen – bedöma effekterna av rekommendationen för att avgöra om det finns behov av ytterligare åtgärder. Vid denna bedömning bör resultaten av den samordnade europeiska riskbedömningen och åtgärdernas effektivitet beaktas.   

Bakgrund

Den 26 mars 2019 antog kommissionen, efter att ha fått stöd av Europeiska rådet, en rekommendation om it-säkerhet i 5G-nät. I rekommendationen uppmanas medlemsländerna att genomföra nationella riskbedömningar, att se över nationella åtgärder och att på EU-nivå tillsammans utarbeta en samordnad riskbedömning och en gemensam uppsättning av riskbegränsande åtgärder.

På nationell nivå har varje medlemsland genomfört en nationell riskbedömning av infrastrukturen i 5G-nät och lämnat resultaten till kommissionen och Europeiska unionens byrå för nät- och informationssäkerhet. I enlighet med Europeiska kommissionens rekommendation granskades i de nationella riskbedömningarna särskilt de huvudsakliga hoten och illvilliga aktörerna i fråga om 5G-nät, känsliga 5G-tillgångar och relevanta sårbarheter av både tekniskt slag och andra slag, till exempel de som eventuellt orsakas av 5G-leverantörskedjan.

5G-teknik
cybersäkerhet