Artikel top billede

5G-tillid er godt - men standarder er altså bedre

Klumme: Gennem flere år har teleindustrien været vidne til, hvordan diskussionerne om sikkerheden i de kommende 5G net har ført til en ændret holdning til både mobilnettet og til leverandørerne. Den situation er blandt andet opstået, fordi der ikke stilles krav til sikkerhedsstandarder i de enkelte produkter - og det er lidt af et paradoks.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Uden standarder var 5G ikke blevet til noget som helst, og det samme gælder alle de tidligere generationer af mobilnet.

I dag er 5G-standarderne de mest omfattende telekommunikationsstandarder - uden sammenligning. De er udtryk for millioner af timers hårdt ingeniørarbejde og betyder, at alt udstyr, fra telefoner, bredbåndsmodemer, basestationer og centrale netværk fungerer sammen, uanset hvilken producent der har bygget det.

5G-standarderne beskriver spillereglerne mellem 5G-udstyr, det vil sige hvordan eksempelvis en telefon skal sammensætte et radiosignal for at det kan forstå mobilselskabets antenner, og hvordan mekanismerne i at flytte telefonen fra en mast til en anden fungerer, når telefonen bevæger sig rundt i landet eller i verden.

5G-standarderne siger til gengæld ikke noget om, hvordan den enkelte producent udvikler og programmerer sine produkter. Blot datastrømmene overholder de spillereglerne standarden definerer, så har producenten helt frit spil i forhold til hvordan han udvikler produkterne.

Frihed skaber udfordringer

Friheden til at udvikle produkterne er vigtig, fordi det netop er den, virksomhederne skal konkurrere med hinanden på - resten er ens for alle og følger standarden.

Når der ikke stilles krav til udviklerne, opstår der hurtigt en lang række spørgsmål, som har stor betydning for valget af produkt.

Det er spørgsmål som robustheden af den software der ligger i systemerne, modularitet, administration og opdatering, kontrol og ikke mindst sikkerhed i forhold til teleselskabernes og telefonbrugernes data.

Disse spørgsmål indgår selvfølgelig når det enkelte teleselskab anskaffer udstyr, men svarene er ofte baseret på den enkelte producents egne forhold, principper og metoder, og er derfor ikke underlagt nogen bestemt eller international standard. Derfor er det oftest den producent som er bedst (eller frækkest) til at svare, som løber med ordren.

Det er her paradokset i 5G opstår: Verdens mest omfattende standard til dato, giver ingen anvisninger til, hvordan der opnås intern sikkerhed i implementeringen af den.

Sikkerhedsstandarder findes

Paradokset er dog ved at forsvinde, og flere forskellige standarder for sikkerhed er over en årrække dukket op i både 3GPP og GSMA sammenhæng.

I GSMA - som er mobilselskabernes brancheorganisation - har man i tæt samarbejde med 3GPP udviklet Nesas (Network Equipment Security Assurance Scheme), som indeholder en meget lang specifikation af krav til producenterne til alt fra produktion til testning og auditering (overvågning) af produkter.

I 3GPP, det forum hvori 5G standarderne skabes, har man blandt flere andre sikkerhedsstandarder udviklet Secam (Security Assurance Methodology) som er en overordnet ramme for hvordan man opnår og tester sikkerhed i mobilnetværk. For 5G netværk har man inden for Secam udviklet SCAS-5G (SeCurity Assurance Specifications for 5G, TS 33.501). SCAS-5G indgår sammen med andre 3GPP standarder i NESAS.

Alle skal igennem nåleøjet

Nesas består af to dele: 1) En undersøgelse af sikkerheden hos den enkelte producent, og 2) undersøgelse af det enkelte produkt, og i begge dele består NESAS arbejde i både at undersøge processer, software og funktioner, men også at den enkelte leverandør reelt følger de procedurer der er krævet.

Nesas kan endda kræve adgang til de enkelte udviklings- og produktionsfaciliteter, så man på den måde kan kontrollerer alt.

Når Nesas har gennemført kontrollen, offentliggøres resultaterne, så alle har adgang til dem - på samme måde som vi kender det fra f.eks. Fødevarekontrollens smiley-ordning her i Danmark.

Nesas er en frivillig foranstaltning, som både mobilselskaber og producenter kan fravælge, men sådan bliver det forhåbentlig ikke i fremtiden. EU overvejer om kravene til teleselskaber og producenter skal skærpes, f.eks. ved at indføre NESAS eller lignende som et krav for at måtte drive en 5G infrastruktur.

Danmark er ikke med

Overvejelserne sker blandt andet i det ekstremt vigtige Concordia (Cyber security cOmpeteNCe fOr Research anD InnoVation) program, hvor sikkerhedsaspekter i tele-, finans-, transport, sundheds- og forsvarssektoren undersøges fra en række synsvinkler, bl.a. med deltagelse af en lang række internationale virksomheder og myndigheder.

Danmark står som et af de få EU-lande uden for deltagelse i dette arbejde, men vil forhåbentlig kunne drage nytte af resultaterne, også selv om danske interesser ikke indgår i arbejdet.

Om Nesas gøres obligatorisk ved vi ikke, og metoden kan ikke stå alene, men sikkert er dog, at procedurerne bør implementeres overfor alle leverandører af teletjenester og udstyr i EU, uanset om der står Nokia, Motorola eller Huawei på det. Samtidig arbejdes der løbende på Nesas-standarden, så den holdes ajour med hvad der sker på sikkerhedsområdet, og en version 2 forventes klar i løbet af året.

Vores digitale infrastruktur er for vigtig til, at alene tilliden til producenten er tilstrækkeligt - standardisering er langt bedre - og specielt da når standarderne rent faktisk findes.

En overordnet beskrivelse af NESAS kan ses her.

Mere om Concordia her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.