AB Siber Güvenlik Ajansı (ENISA) 5G Güvenliği Konusunda Rapor Yayınladı

Avrupa Birliği (AB) üyesi devletler, 5G ağlarının güvenliği ile ilgili risk değerlendirmesi konusunda ortak bir üst düzey rapor yayınladı. Raporda, ana tehditler ve tehdit oyuncuları, en hassas varlıklaı ve bunların arkasındaki zayıf noktalar anlatılıyor[1].

26 Mart’ta Avrupa Konseyi’nin, ulusal risk değerlendirmeleri ve tüm üye devletlerin tedbirlerinin alınmasının yanı sıra “ortak hafifletici önlemlerin oluşturulması” çağrısı yapılmıştı [2].

New high-level report on the EU-wide🇪🇺 coordinated risk assessment of #5G Networks available👉 https://t.co/o9KLdW0JsG#cybersecurity #CyberSecMonth pic.twitter.com/T0mk2C1obM

— DigitalSingleMarket (@DSMeu) October 9, 2019

Avrupa Güvenlik Birliği Komiseri Julian King, AB’nin koordineli 5G ağları güvenlik riski değerlendirmesini bu öğleden sonraki bir konferansta, Büyükelçi Minna Kivimäki ve Dijital Ekonomi ve Toplumdan Sorumlu Avrupa Komisyonu Üyesi Mariya Gabriel ile birlikte sundu.

Avrupa Siber Güvenlik Ajansı (ENISA), bugünkü ortak raporda ele alınan teknik özelliklerin bazılarına daha derinlemesine bakıyor. 5G şebekelerinin arkasındaki tehdit ortamının haritalandırılması üzerinde de çalışıyor.

Tedarikçiden kaynaklanan güvenlik açıkları

5G güvenlik riski değerlendirme raporu, tek bir ekipman tedarikçisinin kullanılmasının yaratacağı tehlikeye dikkat çekiyor. Yanı sıra ekipman sıkıntısı ve 5G çözüm çeşitliliğinin altını çiziyor.

Raporda, hem AB hem de ulusal düzeylerde 5G altyapısının genel kırılganlığına işaret ediyor. Özellikle de çok sayıda işletmecinin hassas varlıklarını yüksek derecede risk sunan bir tedarikçiden temin etmesi durumunu inceliyor (yani bir anlamda Huawei). Rapor şöyle açıklıyor :

“Sonuç olarak, tek bir ekipman tedarikçisine fazlasıyla bağımlı olan AB merkezli operatörler, ticari başarısızlık nedeniyle birleşme veya devralmaya maruz kalma durumundan bağımsız olarak ticari baskının gelmesi nedeniyle tedarikçinin neden olduğu bir dizi riske ve yaptırımlara maruz kalmaktadır”.

AB’nin raporu, 5G şebekelerinin ardındaki güvenlik zorluklarının ağlar ve üçüncü taraf sistemler arasındaki bağlantılardan kaynaklandığı not ediliyor. Yanısıra AB’ye 5G sağlayan üçüncü taraf tedarikçilerin erişimlerinin artmasından da kaynaklandığına işaret ediyor.

Genel olarak, raporda belirtilen 5G teknolojisi güvenlik sorunları, “yazılımın önemli kısmı ve 5G tarafından sağlanan servis ve uygulama yelpazesinin büyük bir kısmı” ve “5G ağlarının oluşturulmasında ve işletilmesinde tedarikçilerin rolü ve tek bir tedarikçiye bağımlılık derecesi” şeklinde özetleniyor.

5G’ye geçmenin arkasındaki güvenlik sorunları

Dün yayınlanan rapora göre, AB üye ülkelerinde 5G şebekelerinin kullanıma açılması ile muhtemelen aşağıdaki güvenlik sonuçları ortaya çıkacak :

1. Saldırılara ve Saldırganlara Daha Fazla Fırsat Sağlamak :   5G ağları, yazılıma daha fazla dayanan networkler olduğundan, yazılıma dayalı riskler yükseliyor.  Hele tedarikçi eğer yazılım konusunda zayıf ise, yazılım geliştirme süreçlerinden kaynaklanan güvenlik açıkları sorunu networkü tehdit edecektir. Ayrıca, tehdit oyuncularının arka kapıları ürünlere kötü niyetli olarak sokmalarını ve tespit edilmelerini zorlaştırmaları da mümkün olacaktır.
2. 5G ağ mimarisinin yeni özellikleri nedeniyle, network ekipmanındaki ve fonksiyonlarındaki bazı parçalar daha hassas hale geliyor. Raporda bunlar baz istasyonları ve temel teknik yönetim fonksiyonları olarak sayılıyor.
3. Mobil şebeke operatörlerinin, tedarikçilere bağımlılıkları daha fazla risklere  maruz kalmalarına yol açıyor. Bu, tehdit oyuncuları tarafından sömürülebilecek daha fazla sayıda saldırı yolu sağlıyor. 5G ağlarını hedeflemesi çok mümkün olan potansiyel tehdit aktörleri arasında AB üyesi olmayan devletler veya devlet destekli siber saldırganlar sayılıyor.
4. Tedarikçilerin kolaylaştırdığı saldırılara daha fazla maruz kalma bağlamında, tedarikçinin AB üyesi olmayan bir ülkeden gelen müdahaleye maruz kalma olasılığı daha yüksek olarak değerlendiriliyor
5. Tedarikçilere olan büyük bağımlılıklardan kaynaklanan artan riskler : tek bir tedarikçiye olan büyük bir bağımlılık, örneğin ticari bir başarısızlık ve bunun sonucu olarak ortaya çıkabilecek potansiyel bir arz kesintisine maruz kalma oranını arttırmaktadır. Ayrıca, zayıflığın veya kırılganlıkların ve özellikle bağımlılığın yüksek derecede risk arz eden bir tedarikçiyle ilgili olduğu durumlarda, tehdit oyuncuları tarafından olası sömürüleri üzerindeki potansiyel etkilerini de artırmaktadır.
6. Ağların kullanılabilirliği ve bütünlüğüne yönelik tehditler büyük güvenlik kaygıları haline gelecektir : güvenlik ve gizlilik tehditlerine ek olarak, 5G ağlarının birçok kritik BT uygulamasının bel kemiği olması bekleniyor, bu ağların bütünlüğü ve kullanılabilirliği büyük ulusal güvenlik kaygılarını getiriyor. Tabi AB perspektifinden de büyük güvenlik sorunu.

Rapor, “Birlikte, bu zorluklar , sektör ve ekosistemi için geçerli olan mevcut politika ve güvenlik çerçevesini yeniden değerlendirmeyi gerekli kılan ve Üye devletlerin gerekli hafifletici önlemleri almaları için gerekli olan yeni bir güvenlik paradigması oluşturuyor “ diyor.

AB İşbirliği Grubu , raporda 31 Aralık’a kadar ayrıntılı olarak açıklanan 5G risklerini ele almak için tasarlanan hafifletici önlemler listesi hazırlamasını istiyor. Ayrıca 1 Ekim 2020’ye kadar grubun tavsiyelerine dayanarak daha fazla eyleme ihtiyaç duyulup duyulmadığını belirlenecek.

[1] Member States publish a report on EU coordinated risk assessment of 5G networks security
[2] Cybersecurity of 5G networks