Nová Správa o kybernetickej bezpečnosti otvorenej rádiovej prístupovej siete (RPS) vznikla v spolupráci s Európskou komisiou a agentúrou EÚ pre kybernetickú bezpečnosť ENISA. V nasledujúcich rokoch bude tento nový typ architektúry sietí 5G poskytovať alternatívny spôsob zavádzania rádiového prístupu do 5G sietí cez otvorené rozhrania. Ide o ďalší významný krok v koordinovanom úsilí na úrovni EÚ v oblasti kybernetickej bezpečnosti 5G sietí, ktorý potvrdzuje rozhodnutie naďalej spoločne reagovať na bezpečnostné výzvy 5G sietí a držať krok s vývojom technológií a architektúry 5G.
Občania a firmy v EÚ, ktoré využívajú pokročilé a inovačné aplikácie s podporou 5G, ako aj ďalšie generácie mobilných komunikačných sietí, by mali využívať ten najvyšší štandard zabezpečenia. V nadväznosti na doterajšie výsledky práce koordinovanej na úrovni EÚ v snahe zvýšiť bezpečnosť sietí 5G prostredníctvom súboru nástrojov EÚ pre kybernetickú bezpečnosť 5G, členské štáty analyzovali bezpečnostné aspekty otvorenej RPS. V správe sa uvádza, že otvorená RPS môže za určitých podmienok znamenať aj prínos z hľadiska bezpečnosti. Vďaka vyššej interoperabilite sieťových komponentov od rôznych dodávateľov môže otvorená RPS priniesť väčšiu rozmanitosť dodávateľov v sieťach na tom istom geografickom území. To by prispelo k splneniu odporúčania týkajúceho sa súboru nástrojov EÚ pre 5G, podľa ktorého by mal mať každý prevádzkovateľ adekvátnu stratégiu založenú na viacerých dodávateľoch, aby tak nebol príliš závislý od jedného dodávateľa. Otvorená sieť RPS by zároveň mohla zvýšiť viditeľnosť siete používaním otvorených rozhraní a noriem, znížiť počet ľudských chýb väčšou automatizáciou a zvýšiť flexibilitu využívaním virtualizácie a cloudových riešení.
Koncept otvorenej RPS však stále nie je dostatočne vyspelý a otázka kybernetickej bezpečnosti zostáva aj naďalej otvorená. Najmä z krátkodobého hľadiska by otvorená RPS zvýšila zložitosť sietí, a priniesla tak so sebou množstvo bezpečnostných rizík. Tieto riziká vyplývajú napríklad z rozšírenia priestoru na kybernetický útok a zo zvýšenia počtu prístupových bodov pre aktérov s nekalými úmyslami, zo zvýšeného rizika nesprávnej konfigurácie sietí a z možných dosahov na iné funkcie siete v dôsledku zdieľania zdrojov. V správe sa tiež konštatuje, že navrhnuté technické špecifikácie napr. tie, ktoré vypracovalo združenie O-RAN, ešte nie sú dostatočne vyspelé a bezpečné. Otvorená RPS môže viesť k novým kritickým závislostiam, napr. v oblasti komponentov a cloudu. Na zmiernenie týchto rizík a lepšie využitie potenciálnych výhod otvorenej RPS sa v správe odporúča niekoľko opatrení založených na súbore nástrojov EÚ pre 5G, a to najmä:
- Využitie regulačných právomocí na kontrolu plánov veľkoplošného zavádzania otvorených RPS mobilnými operátormi a v prípade potreby obmedzenie, zakázanie a/alebo uloženie osobitných požiadaviek alebo podmienok týkajúcich sa dodávania, rozsiahleho zavádzania a prevádzkovania otvorenej RPS a jej nástrojov.
- Sprísnenie kľúčových technických kontrol, akými sú autentifikácia a autorizácia, a prispôsobenie monitorovacieho režimu modulárnemu prostrediu, v ktorom sa každý komponent monitoruje.
- Posúdenie rizikového profilu poskytovateľov otvorených RPS, externých poskytovateľov služieb súvisiacich s otvorenými RPS, poskytovateľov cloudových služieb/infraštruktúry a systémových integrátorov a zároveň rozšírenie kontrol a obmedzení týkajúcich sa poskytovateľov riadených služieb týmto poskytovateľom.
- Riešenie nedostatkov vo vývoji technických špecifikácií: tento proces by mal byť v súlade so základnými princípmi technických prekážok obchodu podľa Svetovej obchodnej organizácie (WTO) pri vypracúvaní medzinárodných noriem a mal by riešiť bezpečnostné nedostatky.
- Čo najrýchlejšie začlenenie komponentov otvorenej RPS do budúceho systému certifikácie kybernetickej bezpečnosti 5G, ktorý sa momentálne vyvíja.
Pokiaľ ide o zachovanie a konsolidáciu kapacít EÚ na tomto trhu, mala by sa zachovať technologicky neutrálna regulácia v záujme podpory hospodárskej súťaže. V tomto kontexte by sa financovanie výskumu a inovácií v oblasti 5G a 6G na úrovni EÚ a vnútroštátnej úrovni mohlo využiť v prospech rovnakých príležitostí pre hráčov v EÚ. Okrem RPS je dôležité riešiť aj potenciálnu závislosť alebo nedostatočnú rozmanitosť v celom komunikačnom hodnotovom reťazci z hľadiska diverzifikácie dodávok. Vo všeobecnosti sa v správe odporúča, aby sa k tejto novej architektúre sietí pristupovalo opatrne. Akýkoľvek prechod od existujúcich a koexistujúcich spoľahlivých technológií by sa mal uskutočniť poskytnutím dostatočného času a zdrojov na predbežné posúdenie rizík, zavedenie vhodných zmierňujúcich opatrení a jasné vymedzenie povinností v prípade zlyhania alebo incidentu.