Amerikan Ulusal Güvenlik Ajansı (NSA) dün bir 5G güvenlik raporu yayınladı [1]. Rapora Amerikan Ulusal İstihbarat Direktörlüğü (ODNI), Amerikan Anavatan Güvenliği (DHS), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ve Amerikan İçişleri Bakanlığı da katkı vermiş. Rapor 5G networklerin risklerini ve güvenlik açıklarını belirlemeyi ve değerlendirmeyi hedeflemiş.
Raporda; “Politika ve standartlar”, “tedarik zinciri” ve “5G sistem mimarisi”, üç ana potansiyel tehdit vektörü olarak belirleniyor. Raporda şöyle deniliyor;
“Yeni 5G politikaları ve standartları yayınlandıkça, son kullanıcıyı etkileyen yeni potansiyel tehditler ortaya çıkıyor. Örneğin, ulus devletler kendi tescilli teknolojilerine fayda sağlayan standartlar üzerinde gereksiz etkide bulunmaya çalışabiliyor ve müşterilerin diğer ekipman veya yazılımları kullanma tercihlerini sınırlayabiliyor.
Bu tehditler ve güvenlik açıkları, kötü niyetli tehdit aktörleri tarafından kuruluşları ve kullanıcıları olumsuz yönde etkilemek için kullanılabilir. 5G tehdit vektörlerine sürekli odaklanma ve sistem mimarisindeki zayıflıkların erken tespiti olmadan, yeni güvenlik açıkları siber olayların etkisini artıracaktır.”
Rapor özellikle, güncellenmesi, onarımı ve değiştirilmesi zor olabilecek güvenilmeyen tescilli teknolojileri ve ekipmanı kullanmanın sonucunda, teknik standartların geliştirilmesinde rakip ülkelerin etkili olabileceğinden –tabii ki Çin’den– bahsediyor.
Rapora göre telekom standartlarının yetersiz uygulanması, tedarik zinciri tehditleri ve sistem mimarisindeki zayıflıklar, 5G ağları için büyük siber güvenlik riskleri oluşturabilir ve bu da onları, siber suçlular ve ulus devlet düşmanlarının değerli istihbarat için yararlanabilecekleri kazançlı bir hedef haline getirebilir.
Raporda tedarik zincirinin yaratacağı riske de dikkat çekiliyor. Üçüncü taraf tedarikçilerden, satıcılardan ve hizmet sağlayıcılardan temin edilen bileşenlerin sahte olabileceği ve erken geliştirme sürecinde güvenlik açıkları ve kötü amaçlı yazılımların eklenebileceği tehlikesinden bahsediliyor.
Bu aynı zamanda, kötü niyetli kodun hedef kullanıcılara ya kaynak kod havuzuna bulaşarak ya da dağıtım kanalını ele geçirerek teslim edilen bir modüle kasıtlı olarak eklendiği bir yazılım tedarik zinciri saldırısı biçimini de alabileceğine dikkat çekiliyor.
Son olarak, 5G mimarisindeki zayıflıklar, çeşitli saldırıları gerçekleştirmek için bir atlama noktası olarak kullanılabilir. Bunların en önemlisi, kötü niyetli aktörler tarafından istismar edilebilecek kendi içsel eksiklikleriyle birlikte gelen 4G eski iletişim altyapısını destekleme ihtiyacını içerir. Bir diğeri, düşmanların farklı dilimlerden veri elde etmesine ve hatta abonelere erişimi engellemesine izin verebilecek yanlış dilim yönetimi sorunudur.