5G-tillid er godt - men standarder er altså bedre

Klumme: Gennem flere år har teleindustrien været vidne til, hvordan diskussionerne om sikkerheden i de kommende 5G net har ført til en ændret holdning til både mobilnettet og til leverandørerne. Den situation er blandt andet opstået, fordi der ikke stilles krav til sikkerhedsstandarder i de enkelte produkter - og det er lidt af et paradoks.

Denne klumme er et debatindlæg og er alene udtryk for skribenternes synspunkter.

Uden standarder var 5G ikke blevet til noget som helst, og det samme gælder alle de tidligere generationer af mobilnet.

I dag er 5G-standarderne de mest omfattende telekommunikationsstandarder - uden sammenligning. De er udtryk for millioner af timers hårdt ingeniørarbejde og betyder, at alt udstyr, fra telefoner, bredbåndsmodemer, basestationer og centrale netværk fungerer sammen, uanset hvilken producent der har bygget det.

5G-standarderne beskriver spillereglerne mellem 5G-udstyr, det vil sige hvordan eksempelvis en telefon skal sammensætte et radiosignal for at det kan forstå mobilselskabets antenner, og hvordan mekanismerne i at flytte telefonen fra en mast til en anden fungerer, når telefonen bevæger sig rundt i landet eller i verden.

5G-standarderne siger til gengæld ikke noget om, hvordan den enkelte producent udvikler og programmerer sine produkter. Blot datastrømmene overholder de spillereglerne standarden definerer, så har producenten helt frit spil i forhold til hvordan han udvikler produkterne.

Frihed skaber udfordringer
Friheden til at udvikle produkterne er vigtig, fordi det netop er den, virksomhederne skal konkurrere med hinanden på - resten er ens for alle og følger standarden.

Når der ikke stilles krav til udviklerne, opstår der hurtigt en lang række spørgsmål, som har stor betydning for valget af produkt.

Det er spørgsmål som robustheden af den software der ligger i systemerne, modularitet, administration og opdatering, kontrol og ikke mindst sikkerhed i forhold til teleselskabernes og telefonbrugernes data.

Disse spørgsmål indgår selvfølgelig når det enkelte teleselskab anskaffer udstyr, men svarene er ofte baseret på den enkelte producents egne forhold, principper og metoder, og er derfor ikke underlagt nogen bestemt eller international standard. Derfor er det oftest den producent som er bedst (eller frækkest) til at svare, som løber med ordren.

Det er her paradokset i 5G opstår: Verdens mest omfattende standard til dato, giver ingen anvisninger til, hvordan der opnås intern sikkerhed i implementeringen af den.

Sikkerhedsstandarder findes
Paradokset er dog ved at forsvinde, og flere forskellige standarder for sikkerhed er over en årrække dukket op i både 3GPP og GSMA sammenhæng.

I GSMA - som er mobilselskabernes brancheorganisation - har man i tæt samarbejde med 3GPP udviklet Nesas (Network Equipment Security Assurance Scheme), som indeholder en meget lang specifikation af krav til producenterne til alt fra produktion til testning og auditering (overvågning) af produkter.

I 3GPP, det forum hvori 5G standarderne skabes, har man blandt flere andre sikkerhedsstandarder udviklet Secam (Security Assurance Methodology) som er en overordnet ramme for hvordan man opnår og tester sikkerhed i mobilnetværk. For 5G netværk har man inden for Secam udviklet SCAS-5G (SeCurity Assurance Specifications for 5G, TS 33.501). SCAS-5G indgår sammen med andre 3GPP standarder i NESAS.

Alle skal igennem nåleøjet
Nesas består af to dele: 1) En undersøgelse af sikkerheden hos den enkelte producent, og 2) undersøgelse af det enkelte produkt, og i begge dele består NESAS arbejde i både at undersøge processer, software og funktioner, men også at den enkelte leverandør reelt følger de procedurer der er krævet.

Nesas kan endda kræve adgang til de enkelte udviklings- og produktionsfaciliteter, så man på den måde kan kontrollerer alt.

Når Nesas har gennemført kontrollen, offentliggøres resultaterne, så alle har adgang til dem - på samme måde som vi kender det fra f.eks. Fødevarekontrollens smiley-ordning her i Danmark.

Nesas er en frivillig foranstaltning, som både mobilselskaber og producenter kan fravælge, men sådan bliver det forhåbentlig ikke i fremtiden. EU overvejer om kravene til teleselskaber og producenter skal skærpes, f.eks. ved at indføre NESAS eller lignende som et krav for at måtte drive en 5G infrastruktur.

Danmark er ikke med
Overvejelserne sker blandt andet i det ekstremt vigtige Concordia (Cyber security cOmpeteNCe fOr Research anD InnoVation) program, hvor sikkerhedsaspekter i tele-, finans-, transport, sundheds- og forsvarssektoren undersøges fra en række synsvinkler, bl.a. med deltagelse af en lang række internationale virksomheder og myndigheder.

Danmark står som et af de få EU-lande uden for deltagelse i dette arbejde, men vil forhåbentlig kunne drage nytte af resultaterne, også selv om danske interesser ikke indgår i arbejdet.

Om Nesas gøres obligatorisk ved vi ikke, og metoden kan ikke stå alene, men sikkert er dog, at procedurerne bør implementeres overfor alle leverandører af teletjenester og udstyr i EU, uanset om der står Nokia, Motorola eller Huawei på det. Samtidig arbejdes der løbende på Nesas-standarden, så den holdes ajour med hvad der sker på sikkerhedsområdet, og en version 2 forventes klar i løbet af året.

Vores digitale infrastruktur er for vigtig til, at alene tilliden til producenten er tilstrækkeligt - standardisering er langt bedre - og specielt da når standarderne rent faktisk findes.

En overordnet beskrivelse af NESAS kan ses her.

Mere om Concordia her.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?

Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.




mest debatterede artikler

Premium
Her er Microsofts planer med Windows for 2021: Pønser på fire nye versioner
Windows 10 vil udkomme i et væld af nye afskygninger i det kommende år. Få overblikket her.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Hvor klogt er dit netværk?
Er dit netværk klar til fremtiden? Nye tider kræver fleksibilitet. I denne eGuide får du en håndfuld konkrete eksempler på, hvordan du kan optimere og fremtidssikre virksomhedens netværk.