5G-tillid er godt - men standarder er altså bedre

Klumme: Gennem flere år har teleindustrien været vidne til, hvordan diskussionerne om sikkerheden i de kommende 5G net har ført til en ændret holdning til både mobilnettet og til leverandørerne. Den situation er blandt andet opstået, fordi der ikke stilles krav til sikkerhedsstandarder i de enkelte produkter - og det er lidt af et paradoks.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Uden standarder var 5G ikke blevet til noget som helst, og det samme gælder alle de tidligere generationer af mobilnet.

I dag er 5G-standarderne de mest omfattende telekommunikationsstandarder - uden sammenligning. De er udtryk for millioner af timers hårdt ingeniørarbejde og betyder, at alt udstyr, fra telefoner, bredbåndsmodemer, basestationer og centrale netværk fungerer sammen, uanset hvilken producent der har bygget det.

5G-standarderne beskriver spillereglerne mellem 5G-udstyr, det vil sige hvordan eksempelvis en telefon skal sammensætte et radiosignal for at det kan forstå mobilselskabets antenner, og hvordan mekanismerne i at flytte telefonen fra en mast til en anden fungerer, når telefonen bevæger sig rundt i landet eller i verden.

5G-standarderne siger til gengæld ikke noget om, hvordan den enkelte producent udvikler og programmerer sine produkter. Blot datastrømmene overholder de spillereglerne standarden definerer, så har producenten helt frit spil i forhold til hvordan han udvikler produkterne.

Frihed skaber udfordringer
Friheden til at udvikle produkterne er vigtig, fordi det netop er den, virksomhederne skal konkurrere med hinanden på - resten er ens for alle og følger standarden.

Når der ikke stilles krav til udviklerne, opstår der hurtigt en lang række spørgsmål, som har stor betydning for valget af produkt.

Det er spørgsmål som robustheden af den software der ligger i systemerne, modularitet, administration og opdatering, kontrol og ikke mindst sikkerhed i forhold til teleselskabernes og telefonbrugernes data.

Disse spørgsmål indgår selvfølgelig når det enkelte teleselskab anskaffer udstyr, men svarene er ofte baseret på den enkelte producents egne forhold, principper og metoder, og er derfor ikke underlagt nogen bestemt eller international standard. Derfor er det oftest den producent som er bedst (eller frækkest) til at svare, som løber med ordren.

Det er her paradokset i 5G opstår: Verdens mest omfattende standard til dato, giver ingen anvisninger til, hvordan der opnås intern sikkerhed i implementeringen af den.

Sikkerhedsstandarder findes
Paradokset er dog ved at forsvinde, og flere forskellige standarder for sikkerhed er over en årrække dukket op i både 3GPP og GSMA sammenhæng.

I GSMA - som er mobilselskabernes brancheorganisation - har man i tæt samarbejde med 3GPP udviklet Nesas (Network Equipment Security Assurance Scheme), som indeholder en meget lang specifikation af krav til producenterne til alt fra produktion til testning og auditering (overvågning) af produkter.

I 3GPP, det forum hvori 5G standarderne skabes, har man blandt flere andre sikkerhedsstandarder udviklet Secam (Security Assurance Methodology) som er en overordnet ramme for hvordan man opnår og tester sikkerhed i mobilnetværk. For 5G netværk har man inden for Secam udviklet SCAS-5G (SeCurity Assurance Specifications for 5G, TS 33.501). SCAS-5G indgår sammen med andre 3GPP standarder i NESAS.

Alle skal igennem nåleøjet
Nesas består af to dele: 1) En undersøgelse af sikkerheden hos den enkelte producent, og 2) undersøgelse af det enkelte produkt, og i begge dele består NESAS arbejde i både at undersøge processer, software og funktioner, men også at den enkelte leverandør reelt følger de procedurer der er krævet.

Nesas kan endda kræve adgang til de enkelte udviklings- og produktionsfaciliteter, så man på den måde kan kontrollerer alt.

Når Nesas har gennemført kontrollen, offentliggøres resultaterne, så alle har adgang til dem - på samme måde som vi kender det fra f.eks. Fødevarekontrollens smiley-ordning her i Danmark.

Nesas er en frivillig foranstaltning, som både mobilselskaber og producenter kan fravælge, men sådan bliver det forhåbentlig ikke i fremtiden. EU overvejer om kravene til teleselskaber og producenter skal skærpes, f.eks. ved at indføre NESAS eller lignende som et krav for at måtte drive en 5G infrastruktur.

Danmark er ikke med
Overvejelserne sker blandt andet i det ekstremt vigtige Concordia (Cyber security cOmpeteNCe fOr Research anD InnoVation) program, hvor sikkerhedsaspekter i tele-, finans-, transport, sundheds- og forsvarssektoren undersøges fra en række synsvinkler, bl.a. med deltagelse af en lang række internationale virksomheder og myndigheder.

Danmark står som et af de få EU-lande uden for deltagelse i dette arbejde, men vil forhåbentlig kunne drage nytte af resultaterne, også selv om danske interesser ikke indgår i arbejdet.

Om Nesas gøres obligatorisk ved vi ikke, og metoden kan ikke stå alene, men sikkert er dog, at procedurerne bør implementeres overfor alle leverandører af teletjenester og udstyr i EU, uanset om der står Nokia, Motorola eller Huawei på det. Samtidig arbejdes der løbende på Nesas-standarden, så den holdes ajour med hvad der sker på sikkerhedsområdet, og en version 2 forventes klar i løbet af året.

Vores digitale infrastruktur er for vigtig til, at alene tilliden til producenten er tilstrækkeligt - standardisering er langt bedre - og specielt da når standarderne rent faktisk findes.

En overordnet beskrivelse af NESAS kan ses her.

Mere om Concordia her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




mest debatterede artikler

Premium
Exchange-sårbarhed truer selskaber over hele kloden: Sådan blev den opdaget af Dubex fra Søborg
En række akutte sårbarheder i Microsoft Exchange Server har sendt en panisk bølge gennem Exchange-miljøet. Sårbarhederne blev opdaget af danske Dubex. Se her, hvordan de blev opdaget af det danske selskab. "Var hackerne lykkedes med det, ville det være forholdsvist voldsomt," siger Jacob Herbst fra Dubex.
Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Digital transformation tvinger organisationer til at nå deres digitale mål på nye måder
Allerede for to år siden hævdede nordiske virksomheder, at virksomhedernes konkurrenceevne og sågar overlevelse var afhængig af en vellykket digitalisering. De var klar, fulde af håb og på vej mod det digitale paradis. Hvordan gik det så? Hvor er de nu? For at finde ud af det, interviewede DigiPlex og Norstat 377 forretningsledere og IT-beslutningstagere fra organisationer fordelt over hele Danmark, Sverige og Norge om deres digitaliseringsfremskridt, om hvordan de har håndteret pandemien, og om hvordan IT understøtter eller står i vejen for indfrielsen af deres bæredygtighedsmål. DigiPlex kan nu dele en rapport med resultaterne fra undersøgelsen samt tanker om, hvordan man håndterer dem. De deler også nogle nyttige tips til, hvordan man skaber en pålidelig infrastruktur, der kan tilskynde til og understøtte ambitioner i den digitale økonomi. Læs mere i rapporten Nordic Data Center Trends 2020: Riding out the Storm.