Gestione del rischio delle reti 5G, arriva un toolbox dell’Ue

Tre categorie di strumenti, combinabili fra loro, per assicurare i diversi livelli di protezione richiesti alle reti 5G. È quanto contiene il documento di riskmanagement dell’Ue: “Cybersecurity of 5G networks EU Toolbox of risk mitigating measures“, che continua e completa il precedente studio focalizzato sulla elaborazione del risk assessment da parte dei paesi dell’Unione sulle minacce a cui potrebbe essere soggetta la rete. Obiettivo del toolbox è quello di identificare un possibile set di misure comuni che siano in grado di mitigare i principali rischi presenti nel dominio cyber della rete 5G, nonché quello di fornire indicazioni su come selezionare le misure in funzione della priorità che rivestono nell’elaborazione dei piani di mitigazione del rischio a livello nazionale ed europeo.

Il documento si pone l’obiettivo di mitigare i rischi presenti sulla rete al fine di renderla più robusta e resiliente, concetto questo che ricorre spesso al suo interno. Nel dettaglio il toolbox individua tre categorie di strumenti che, combinati tra loro, forniscono differenti livelli di protezione a seconda della sensibilità della componente dell’architettura di rete da salvaguardare:

• livello delle misure di carattere strategico (8 misure), da attuarsi prevalentemente a cura degli Stati membri e che mirano ad intensificare il controllo sulle attività di procurement (specie nell’ambito extra europeo), al fine di evitare rischi di dipendenza da un unico fornitore con ricadute sulla sicurezza della rete nel lungo periodo (rischio da interruzione del servizio di fornitura dei materiali);
• livello delle misure di carattere tecnico (11 misure), da attuarsi sempre a cura degli Stati membri e che mirano a garantire il rafforzamento della rete 5G e della sua sicurezza attraverso il potenziamento della sicurezza delle tecnologie, dei processi, delle persone e dei fattori di sicurezza fisica;
• livello delle misure di carattere “abilitante” o di supporto (10 misure), da attuarsi a livello centrale e che mirano a creare l’environment normativo ed istituzionale per favorire lo sharing informativo tra gli Stati membri in ambito cyber e fornire gli strumenti regolamentativi di alto livello per supportare l’azione di messa in sicurezza dell’infrastruttura 5G.

Il toolbox si conclude invitando gli Stati membri a mettere in campo degli step concreti e misurabili per la realizzazione delle misure sopra identificate entro il 30 aprile 2020.

Quattro riflessioni sulla sicurezza delle reti

Le misure descritte nel documento fanno scaturire alcune riflessioni, sia a livello nazionale che a livello europeo:

1. il primo problema è relativo all’applicazione degli strumenti di carattere strategico che attengono propriamente al livello politico. In Italia la legge sulla cyber security, entrata in vigore il 21 novembre 2019, ha istituito diversi strumenti per l’esercizio da parte governativa delle misure di mitigazione; in particolare ha potenziato gli strumenti del cosiddetto golden power da parte del governo, con il quale viene introdotto l’obbligo di notifica per le aziende Tlc che scelgono di fornirsi da imprese extra-Ue nella costruzione delle reti 5G sulle quali il governo avrebbe l’ultima parola sui contratti: potrebbe accettarli, bloccarli e imporre condizioni o prescrizioni. In aggiunta è stato istituito il Centro di Valutazione e Certificazione Nazionale (CVCN), presso l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione, per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche, nonché di ogni altro operatore per cui sussista un interesse nazionale. A oggi tuttavia non sono state ancora definite né quelle amministrazioni, pubbliche e private, comprese all’interno del perimetro di sicurezza nazionale cibernetica (la loro individuazione è rimandata a un DPCM da emanarsi entro 4 mesi dalla promulgazione della legge e quindi entro fine marzo anche se è indiscutibile che le aziende di telecomunicazione nazionali rientrano in questa categoria), né le modalità di funzionamento del CVCN, rimesse a un regolamento, da emanarsi entro 10 mesi dalla data di entrata in vigore della legge. Se da un lato quindi c’è ancora della strada da percorrere per la piena realizzazione dell’architettura 5G in Italia (ad oggi di fatto stiamo ancora impiegando una connettività Lte “enhanced” sfruttando la vecchia rete 4G), dall’altro le misure messe in campo a livello nazionale non soddisfano ancora appiano le prescrizioni dell’Unione in termini di cyber security;
2. il secondo problema è connesso al principio della “resilienza” in ambito cyber. Secondo la Mitre Corporation, con il termine di cyber resilienza si intende “la capacità di anticipare, fronteggiare, reagire e adattarsi ad un attacco o una compromissione di una risorsa di tipo cyber”. Si differenzia dalla cyber security per due ordini di motivi: il primo è che mentre la cyber security si focalizza sulla protezione delle informazioni (triade CIA o RID), la cyber resilienza si focalizza anche sull’anticipare l’insorgere di una potenziale criticità, svincolandosi quindi da un contesto puramente company oriented ed attagliandosi maggiormente sulla business mission di tipo strategico. In questa ottica, la cyber resilienza guarda al di là della protezioni del sistema aziendale in senso stretto, volgendo lo sguardo, ad esempio, alle supply & value chain, estremamente più sensibili all’azione di ingerenza di un attore di tipo statuale. Come sottolineato dal Copasir durante l’intervento del 11 dicembre 2019, l’assenza di cyber resilienza è emersa in maniera preponderante in Italia durante la vicenda del virus “Wanna Cry”, diffusosi attraverso backdoors presenti su apparecchi Huawei di Vodafone Italia;
3. altro problema che emerge preponderante dall’analisi della “cassetta degli attrezzi” dell’Unione europea è la quasi totale mancanza di diversificazione dell’ecosistema 5G globale. Gli attori commerciali presenti sul mercato globale sono (fonte The Economist) Huawei; Samsung; Ericcson; Nokia ed altri minori (tra cui ZTE, operante in Italia). A oggi le tecnologie offerte da Huawei sono di gran lunga più avanzate (l’azienda ha iniziato a investire sul 5G dal 2008) nonché più economiche, anche grazie agli aiuti di Stato forniti alla ditta da parte del governo cinese. Portare gli altri competitors europei allo stesso livello di convenienza tecnico economica di Huawei (fonte FT) richiederebbe almeno tre anni di sviluppo tecnologico da parte delle aziende europee come Ericsson e Nokia. Costi che si andrebbero a scaricare sulle tariffe dei consumatori del servizio mobile. In Italia come in altri paesi dell’Unione, fin dall’introduzione del Lte, Huawei è stata partner fondamentale nella creazione della architettura della rete ed appare per tanto evidente che, dal punto di vista governativo, l’esclusione totale di Huawei, in quanto fornitore “a rischio”, dalla rete 5G è un opzione economicamente non praticabile a meno di non voler investire ingenti quantità di capitale da parte degli operatori telefonici per la riconversione del network (opzione totalmente esclusa da British Telecom, ad esempio, sia per i costi di riconversione sia per la disparità tecnologica dei competitors europei rispetto all’omologo cinese). Occorre tuttavia domandarsi, come giustamente osservato dal Copasir, se le pur significative esigenze commerciali e di mercato, che assumono un ruolo fondamentale in una economia aperta, possono prevalere su quelle che attengono alla sicurezza nazionale, ove queste siano messe in pericolo.
4. infine, a livello europeo, appare evidente l’assenza di una strategia di digital sovereignty che il toolbox cerca di colmare allo scopo di non far trovare l’Unione impreparata di fronte alle sfide tecnologiche future, soprattutto per gli impatti che queste avranno sulla dimensione della sicurezza (come ad esempio quella del 6G). Oggi occorre mettere al riparo le infrastrutture critiche europee dai rischi nascosti tra le pieghe delle regole del libero mercato, attraverso il potenziamento di regole e standard, necessari al fine di non inquinare il perimetro cibernetico europeo con tecnologie permeabili e non controllate. Occorre inoltre potenziare le misure difensive commerciali per far crescere le aziende europee attraverso il contrasto del fenomeno del dumping e attraverso il monitoraggio dei Foreign Direct Investment lungo la value chain del 5G al fine da evitare l’insorgere di situazioni di competizione commerciale sleale. In questo modo non si sta confondendo la geopolitica con le regole del libero mercato ma si sta piuttosto proteggendo il mercato europeo da pericolose insidie di carattere geopolitico.