5G-tillid er godt - men standarder er altså bedre

Klumme: Gennem flere år har teleindustrien været vidne til, hvordan diskussionerne om sikkerheden i de kommende 5G net har ført til en ændret holdning til både mobilnettet og til leverandørerne. Den situation er blandt andet opstået, fordi der ikke stilles krav til sikkerhedsstandarder i de enkelte produkter - og det er lidt af et paradoks.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Uden standarder var 5G ikke blevet til noget som helst, og det samme gælder alle de tidligere generationer af mobilnet.

I dag er 5G-standarderne de mest omfattende telekommunikationsstandarder - uden sammenligning. De er udtryk for millioner af timers hårdt ingeniørarbejde og betyder, at alt udstyr, fra telefoner, bredbåndsmodemer, basestationer og centrale netværk fungerer sammen, uanset hvilken producent der har bygget det.

5G-standarderne beskriver spillereglerne mellem 5G-udstyr, det vil sige hvordan eksempelvis en telefon skal sammensætte et radiosignal for at det kan forstå mobilselskabets antenner, og hvordan mekanismerne i at flytte telefonen fra en mast til en anden fungerer, når telefonen bevæger sig rundt i landet eller i verden.

5G-standarderne siger til gengæld ikke noget om, hvordan den enkelte producent udvikler og programmerer sine produkter. Blot datastrømmene overholder de spillereglerne standarden definerer, så har producenten helt frit spil i forhold til hvordan han udvikler produkterne.

Frihed skaber udfordringer
Friheden til at udvikle produkterne er vigtig, fordi det netop er den, virksomhederne skal konkurrere med hinanden på - resten er ens for alle og følger standarden.

Når der ikke stilles krav til udviklerne, opstår der hurtigt en lang række spørgsmål, som har stor betydning for valget af produkt.

Det er spørgsmål som robustheden af den software der ligger i systemerne, modularitet, administration og opdatering, kontrol og ikke mindst sikkerhed i forhold til teleselskabernes og telefonbrugernes data.

Disse spørgsmål indgår selvfølgelig når det enkelte teleselskab anskaffer udstyr, men svarene er ofte baseret på den enkelte producents egne forhold, principper og metoder, og er derfor ikke underlagt nogen bestemt eller international standard. Derfor er det oftest den producent som er bedst (eller frækkest) til at svare, som løber med ordren.

Det er her paradokset i 5G opstår: Verdens mest omfattende standard til dato, giver ingen anvisninger til, hvordan der opnås intern sikkerhed i implementeringen af den.

Sikkerhedsstandarder findes
Paradokset er dog ved at forsvinde, og flere forskellige standarder for sikkerhed er over en årrække dukket op i både 3GPP og GSMA sammenhæng.

I GSMA - som er mobilselskabernes brancheorganisation - har man i tæt samarbejde med 3GPP udviklet Nesas (Network Equipment Security Assurance Scheme), som indeholder en meget lang specifikation af krav til producenterne til alt fra produktion til testning og auditering (overvågning) af produkter.

I 3GPP, det forum hvori 5G standarderne skabes, har man blandt flere andre sikkerhedsstandarder udviklet Secam (Security Assurance Methodology) som er en overordnet ramme for hvordan man opnår og tester sikkerhed i mobilnetværk. For 5G netværk har man inden for Secam udviklet SCAS-5G (SeCurity Assurance Specifications for 5G, TS 33.501). SCAS-5G indgår sammen med andre 3GPP standarder i NESAS.

Alle skal igennem nåleøjet
Nesas består af to dele: 1) En undersøgelse af sikkerheden hos den enkelte producent, og 2) undersøgelse af det enkelte produkt, og i begge dele består NESAS arbejde i både at undersøge processer, software og funktioner, men også at den enkelte leverandør reelt følger de procedurer der er krævet.

Nesas kan endda kræve adgang til de enkelte udviklings- og produktionsfaciliteter, så man på den måde kan kontrollerer alt.

Når Nesas har gennemført kontrollen, offentliggøres resultaterne, så alle har adgang til dem - på samme måde som vi kender det fra f.eks. Fødevarekontrollens smiley-ordning her i Danmark.

Nesas er en frivillig foranstaltning, som både mobilselskaber og producenter kan fravælge, men sådan bliver det forhåbentlig ikke i fremtiden. EU overvejer om kravene til teleselskaber og producenter skal skærpes, f.eks. ved at indføre NESAS eller lignende som et krav for at måtte drive en 5G infrastruktur.

Danmark er ikke med
Overvejelserne sker blandt andet i det ekstremt vigtige Concordia (Cyber security cOmpeteNCe fOr Research anD InnoVation) program, hvor sikkerhedsaspekter i tele-, finans-, transport, sundheds- og forsvarssektoren undersøges fra en række synsvinkler, bl.a. med deltagelse af en lang række internationale virksomheder og myndigheder.

Danmark står som et af de få EU-lande uden for deltagelse i dette arbejde, men vil forhåbentlig kunne drage nytte af resultaterne, også selv om danske interesser ikke indgår i arbejdet.

Om Nesas gøres obligatorisk ved vi ikke, og metoden kan ikke stå alene, men sikkert er dog, at procedurerne bør implementeres overfor alle leverandører af teletjenester og udstyr i EU, uanset om der står Nokia, Motorola eller Huawei på det. Samtidig arbejdes der løbende på Nesas-standarden, så den holdes ajour med hvad der sker på sikkerhedsområdet, og en version 2 forventes klar i løbet af året.

Vores digitale infrastruktur er for vigtig til, at alene tilliden til producenten er tilstrækkeligt - standardisering er langt bedre - og specielt da når standarderne rent faktisk findes.

En overordnet beskrivelse af NESAS kan ses her.

Mere om Concordia her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.





Premium
Spareplan har udløst voldsomme protester: Her er regeringens forklaring på planlagte it-besparelser
Regeringens planer om at skære ned for blandt andet Datatilsynet, Digitaliseringsstyrelsen og Styrelsen for It og Læring skyldes blandt andet 'bevillings-udløb' og 'løbende tilpasninger,' lyder det i et skriftligt svar, som Finansministeriet har sendt til Computerworld - tre uger efter vi bad om en begrundelse.
Computerworld
Så kom der pris og dato på de nye PlayStation 5-modeller
Sony slipper de nye PlayStation 5 konsoller løs blot halvanden uge efter lanceringen af Microsofts Xbox-kollektion.
CIO
Podcast: Pandoras CIO Peter Cabello afslører sine tre vigtigste mål for digitaliseringen
Podcast, The Digital Edge: Hør Pandoras CIO Peter Cabello Holmberg fortælle om, hvordan et af verdens største smykkefirmaer arbejder med innovation og digitalisering af et traditionel offline salg, og hvordan Pandora udnytter data til at skabe en bedre kundeoplevelse.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
How to understand the email threat landscape
There is already a large number of organizations transitioning to more cost efficient cloud based solutions as of now. According to recent research by Gartner, "by 2021, Gartner expects 70 % of public and private companies to be using cloud email services.” But unfortunately this is also bad news, as the attackers’ methods also evolve, and there is a market increase in number of attacks against cloud based email services such as MS Office 365. In this whitepaper we will discuss the common email security threats that are faced by organizations and how to keep your organization safe from these attacks.