Oggi gli Stati membri dell’UE, con il sostegno della Commissione europea e dell’ENISA, l’Agenzia europea per la sicurezza informatica, hanno pubblicato un rapporto sulla sicurezza informatica della Open RAN. Questo nuovo tipo di architettura di rete 5G fornirà nei prossimi anni un modo alternativo di distribuire la parte di accesso radio delle reti 5G basata su interfacce aperte. Questo segna un altro passo importante nel lavoro coordinato a livello UE sulla sicurezza informatica delle reti 5G, dimostrando una forte determinazione a continuare a rispondere congiuntamente alle sfide di sicurezza delle reti 5G e a tenersi al passo con gli sviluppi della tecnologia e dell’architettura 5G.
I cittadini e le imprese dell’UE che utilizzano applicazioni avanzate e innovative abilitate dal 5G e dalle future generazioni di reti di comunicazione mobile dovrebbero beneficiare dei più elevati standard di sicurezza. Facendo seguito al lavoro coordinato già svolto a livello europeo per rafforzare la sicurezza delle reti 5G con l’EU Toolbox on 5G Cybersecurity, gli Stati membri hanno analizzato le implicazioni per la sicurezza della Open RAN.
Margrethe Vestager, vicepresidente esecutivo per un’Europa adatta all’era digitale, ha dichiarato: “La nostra priorità e responsabilità comune è quella di garantire la tempestiva diffusione delle reti 5G in Europa, assicurandone al contempo la sicurezza. Le architetture RAN aperte creano nuove opportunità sul mercato, ma questo rapporto dimostra che sollevano anche importanti problemi di sicurezza, soprattutto nel breve termine. Sarà importante che tutti i partecipanti dedichino tempo e attenzione sufficienti a mitigare tali sfide, in modo da poter realizzare le promesse della RAN aperta“.
Thierry Breton, Commissario per il Mercato interno, ha aggiunto: “Con l’introduzione delle reti 5G in tutta l’UE e la crescente dipendenza delle nostre economie dalle infrastrutture digitali, è più importante che mai garantire un elevato livello di sicurezza delle nostre reti di comunicazione. Questo è ciò che abbiamo fatto con la cassetta degli attrezzi per la sicurezza informatica del 5G. Ed è quello che – insieme agli Stati membri – facciamo ora su Open RAN con questo nuovo rapporto. Non spetta alle autorità pubbliche scegliere una tecnologia. Ma è nostra responsabilità valutare i rischi associati alle singole tecnologie. Questo rapporto mostra che l’Open RAN offre una serie di opportunità, ma anche sfide significative per la sicurezza che non sono state ancora affrontate e che non possono essere sottovalutate. In nessun caso la potenziale implementazione di Open RAN nelle reti 5G europee dovrebbe portare a nuove vulnerabilità“.
Guillaume Poupard, direttore generale dell’Agenzia nazionale francese per la sicurezza informatica (ANSSI), ha dichiarato: “Dopo il Toolbox dell’UE sulla sicurezza informatica del 5G, questo rapporto è un’altra pietra miliare nello sforzo del gruppo di cooperazione NIS di coordinare e mitigare i rischi per la sicurezza delle nostre reti 5G. Questa analisi approfondita della sicurezza della Open RAN contribuisce a garantire che il nostro approccio comune sia al passo con le nuove tendenze e le relative sfide di sicurezza. Continueremo a lavorare per affrontare insieme queste sfide“.
Il rapporto ha rilevato che l’Open RAN potrebbe offrire potenziali opportunità di sicurezza, a condizione che siano soddisfatte alcune condizioni. Grazie a una maggiore interoperabilità tra i componenti della RAN di diversi fornitori, la RAN aperta potrebbe consentire una maggiore diversificazione dei fornitori all’interno delle reti nella stessa area geografica. Ciò potrebbe contribuire al raggiungimento della raccomandazione del Toolbox 5G dell’UE, secondo cui ogni operatore dovrebbe avere un’adeguata strategia multi-venditore per evitare o limitare qualsiasi dipendenza importante da un singolo fornitore. L’Open RAN potrebbe anche contribuire ad aumentare la visibilità della rete grazie all’uso di interfacce e standard aperti, a ridurre gli errori umani grazie a una maggiore automazione e ad aumentare la flessibilità grazie all’uso della virtualizzazione e di soluzioni basate su cloud.
Tuttavia, il concetto di Open RAN manca ancora di maturità e la sicurezza informatica rimane una sfida significativa. Soprattutto nel breve termine, aumentando la complessità delle reti, l’Open RAN aggraverebbe una serie di rischi per la sicurezza. Questi rischi includono una superficie di attacco più ampia e un maggior numero di punti di ingresso per gli attori malintenzionati, un aumento del rischio di configurazione errata delle reti e potenziali impatti su altre funzioni di rete a causa della condivisione delle risorse. Il rapporto rileva inoltre che le specifiche tecniche, come quelle sviluppate dalla O-RAN Alliance, non sono sufficientemente mature e sicure in fase di progettazione. La RAN aperta potrebbe portare a nuove o maggiori dipendenze critiche, ad esempio nell’area dei componenti e del cloud.
Per mitigare questi rischi e sfruttare le potenziali opportunità dell’Open RAN, il rapporto raccomanda una serie di azioni basate sul Toolbox 5G dell’UE, in particolare:
- Utilizzare i poteri normativi per poter esaminare i piani di diffusione su larga scala della Open RAN da parte degli operatori mobili e, se necessario, limitare, vietare e/o imporre requisiti o condizioni specifiche per la fornitura, la diffusione su larga scala e il funzionamento delle apparecchiature di rete Open RAN;
- rafforzare i controlli tecnici chiave, come l’autenticazione e l’autorizzazione, e adattare il progetto di monitoraggio a un ambiente modulare in cui ogni componente è monitorato;
- valutare il profilo di rischio dei fornitori di Open RAN, dei fornitori di servizi esterni correlati a Open RAN, dei fornitori di servizi/infrastrutture cloud e degli integratori di sistemi, ed estendere i controlli e le restrizioni sugli MSP (Managed Service Provider) a tali fornitori;
- Affrontare le carenze nello sviluppo delle specifiche tecniche: il processo dovrebbe soddisfare i principi fondanti dell’Organizzazione Mondiale del Commercio (OMC)/Barriere Tecniche al Commercio (TBT) per lo sviluppo di standard internazionali[1] e le carenze di sicurezza dovrebbero essere affrontate;
- l’inclusione di componenti Open RAN nel futuro schema di certificazione della cybersicurezza 5G, attualmente in fase di sviluppo, nella fase più precoce possibile.
- Per quanto riguarda il mantenimento e il consolidamento delle capacità dell’UE in questo mercato, è necessario mantenere una regolamentazione tecnologicamente neutrale per promuovere la concorrenza. In questo quadro, i finanziamenti UE e nazionali per la ricerca e l’innovazione 5G e 6G potrebbero essere utilizzati per sostenere le opportunità per gli operatori dell’UE di competere su un piano di parità. Al di là della RAN, è anche importante affrontare le potenziali dipendenze o la mancanza di diversità nell’intera catena del valore delle comunicazioni per la diversificazione dell’offerta.
Nel complesso, il rapporto raccomanda un approccio cauto al passaggio a questa nuova architettura. La transizione da e la coesistenza con le tecnologie esistenti e affidabili dovrebbe avvenire concedendo tempo e risorse sufficienti per valutare i rischi in anticipo, implementare le opportune mitigazioni e definire chiaramente le responsabilità in caso di guasto o incidente.
