Wprowadzenie

GCHQ – Krajowe Centrum Bezpieczeństwa Cybernetycznego (NCSC) – jest brytyjskim organem technicznym ds. bezpieczeństwa cybernetycznego. GCHQ wspiera najbardziej krytyczne organizacje w Wielkiej Brytanii, szeroko pojęty sektor publiczny, przemysł i MŚP, jak również społeczeństwo. Częścią roli NCSC jest podkreślanie potencjalnych zagrożeń dla bezpieczeństwa cybernetycznego w Wielkiej Brytanii oraz udzielanie porad w oparciu o wiedzę techniczną.

Pełniąc tę rolę, NCSC dostarczyła Departamentowi ds. Cyfryzacji, Kultury, Mediów i Sportu (DCMS) szczegółową analizę bezpieczeństwa, która stanowiła podstawę jego Telecoms Supply Chain Review (SCR), którego wyniki zostały opublikowane w lipcu 2019 roku. NCSC przeanalizowała potencjalne ryzyko dla sektora telekomunikacyjnego wynikające ze zmian w łańcuchu dostaw w sektorze telekomunikacyjnym, istniejące praktyki w zakresie bezpieczeństwa stosowane przez operatorów brytyjskich oraz ryzyko dla Zjednoczonego Królestwa. W przeglądzie stwierdzono, że skuteczne zarządzanie łańcuchem dostaw ma zasadnicze znaczenie dla osiągnięcia bezpieczeństwa w sektorze telekomunikacyjnym.

Jedno z pytań postawionych przez SCR dotyczyło tego, w jaki sposób sprostać wyzwaniom związanym z bezpieczeństwem, jakie stawiają przed brytyjskimi sieciami telekomunikacyjnymi dostawcy stwarzający większe zagrożenie dla bezpieczeństwa (“high risk vendors” lub “HRVs”). Historycznie, zaangażowanie HRV było zarządzane na zasadzie rekomendacji od NCSC, poprzez doradztwo udzielane operatorom.

W szczególności, gdy operatorzy zwracali się do z prośbą do NCSC o wykorzystanie HRV, NCSC doradzała im, jak najlepiej ograniczyć poszczególne rodzaje ryzyka, które mogą stwarzać. Obecnie intencją rządu jest poszukiwanie dalszych uprawnień ustawowych, gdy tylko pozwoli na to parlament, na podstawie których może on wymagać od operatorów telekomunikacyjnych podjęcia pewnych kroków w celu zarządzania bezpieczeństwem ich obecnych i przyszłych sieci.

Rząd i NCSC uznają jednak, że rynek znajduje się obecnie na kluczowym etapie realizacji nowych programów wprowadzania na rynek produktów 5G i Fibre to the Premises (FTTP) i że branża pilnie potrzebuje doradztwa w zakresie bezpieczeństwa, aby wesprzeć te programy. W związku z tym rząd zwrócił się do NCSC o rozważenie opublikowania niewiążących porad technicznych dla operatorów w odniesieniu do korzystania przez nich ze sprzętu pochodzącego od HRV. Jeżeli operatorzy zdecydują się na wdrożenie tych porad, pozwoli im to na dokonanie wyborów w zakresie bezpieczeństwa, które pomogą chronić bezpieczeństwo ich własnych sieci telekomunikacyjnych oraz sieci brytyjskich. W celu zapewnienia kompletności, niniejsza porada obejmuje również sieci inne niż 5G i FTTP.

Tło

Jak zauważył SCR, łańcuch dostaw w sektorze telekomunikacji nie działa obecnie w sposób, który zapewniałby dobre bezpieczeństwo. Do tej pory mogło to powodować słabsze praktyki branżowe. Ze względu na to, że obecnie wdrażane są systemy 5G i FTTP, bezpieczeństwo sieci ma obecnie pierwszorzędne znaczenie. Operatorzy mają teraz możliwość zaprojektowania i zbudowania sieci nowej generacji w celu powstrzymania ataków i zapobieżenia uszkodzeniu najważniejszych funkcji sieci.

NCSC przyjrzał się architekturze bezpieczeństwa sieci i praktyk operacyjnych u operatorów, które zmniejszają poziom udanej penetracji sieci i pozwalają na szybką identyfikację włamań i zarządzanie nimi. Jest to podstawowa zasada dobrej praktyki w zakresie bezpieczeństwa cybernetycznego. Jest pewnym, że będą miały miejsce cyberataki na sieci telekomunikacyjne. W opinii NCSC jest również pewne, że niektóre z tych ataków z powodzeniem doprowadzą do zagrożenia tych sieci.

Zgodnie z zapowiedzią w ramach Telecoms Supply Chain Review, NCSC przygotowuje wytyczne dotyczące bezpieczeństwa sieci telekomunikacyjnych, w formie Telecoms Security Requirements (TSRs). Będą one stanowić ramy dla bezpieczeństwa w nowoczesnych sieciach telekomunikacyjnych. Właściwe zastosowanie TSR przez operatorów znacząco zmniejszy prawdopodobieństwo udanego ataku i szkody wyrządzone w jego trakcie. Będą one zaprojektowane w taki sposób, aby złagodzić szereg krajowych zagrożeń dla sieci telekomunikacyjnej.

Dostawcy wysokiego ryzyka (HRV)

Celem TSR nie jest pełne ograniczenie ryzyka. NCSC uważa, że szczególne cechy niektórych dostawców mogą powodować zwiększone ryzyko krajowe. NCSC uważa zatem, że rynkowi pomocne byłoby jasne określenie, w jaki sposób obecność danego dostawcy może zwiększyć ryzyko związane z bezpieczeństwem, jak zdefiniować dostawców wysokiego ryzyka i jak zarządzać szczególnym ryzykiem związanym z bezpieczeństwem, jakie przedstawiają ci dostawcy.

NCSC od wielu lat pomaga operatorom w zarządzaniu dostawcami, którzy stwarzają większe zagrożenie dla bezpieczeństwa narodowego. W ramach SCR, NCSC wprowadziło niewyczerpującą listę kryteriów, które NCSC stosuje przy identyfikacji dostawców jako HRV. Te niewyczerpujące kryteria to:

• Strategiczna pozycja/skala dostawcy w sieci brytyjskiej;
• Strategiczna pozycja/skala dostawcy w innych sieciach telekomunikacyjnych, w szczególności jeśli jest on nowy na rynku brytyjskim;
• Jakość i przejrzystość praktyk inżynierskich dostawcy oraz kontroli bezpieczeństwa cybernetycznego;
• Dotychczasowe zachowania i praktyki dostawcy;
• Odporność dostawcy zarówno pod względem technicznym, jak i w odniesieniu do ciągłości dostaw dla operatorów brytyjskich;
• Szereg czynników związanych z własnością i miejscem prowadzenia działalności przez dostawcę, w tym:
  • Wpływ, jaki krajowy aparat państwowy może wywierać na dostawcę (zarówno formalny, jak i nieformalny);
  • Czy dane państwo krajowe i podmioty powiązane posiadają ofensywne zdolności w zakresie cyberprzestrzeni, które mogą być wykorzystane do realizacji interesów Zjednoczonego Królestwa;
  • Czy istotny element działalności gospodarczej podlega przepisom bezpieczeństwa wewnętrznego, które pozwalają na kierowanie się z zewnątrz w sposób sprzeczny z prawem Zjednoczonego Królestwa
• Nie ma wyczerpującej listy które NCSC rozważa by skategoryzować HRV w ramach tych kryteriów.

Wykorzystanie HRV w brytyjskich sieciach telekomunikacyjnych

W celu zminimalizowania dodatkowego ryzyka dla bezpieczeństwa cybernetycznego spowodowanego przez HRV, NCSC uważa, że konieczne i proporcjonalne jest ograniczenie ich obecności w sieciach.

Jest to konsekwentna porada NCSC dla operatorów i jest to powszechna praktyka większości operatorów; porady te są obecnie sformalizowane i publikowane, zgodnie z życzeniem rządu. NCSC stwierdza, że wykorzystywanie HRV bez tych ograniczeń może powodować ryzyko dla bezpieczeństwa cybernetycznego w kraju.

Dlatego też NCSC przedstawia zalecenia w następujący sposób:

• Nie można zarządzić ryzykiem związanym z wykorzystania HRV . Dlatego też, jeżeli ma zostać podjęte skuteczne zarządzanie ryzykiem związanym z HRV, ich produkty i usługi nie powinny być wykorzystywane w następujących funkcjach sieciowych:
  • We wszystkich sieciach:
    • IP Core,
    • Security Functions,
    • Operational Support Systems (OSS)
    • Management and Authentication, Authorisation and Audit (AAA) functions
    • Virtualisation infrastructure (including Network Function Virtualisation Infrastructure (NFVI))
    • Orchestrator and controller functions (including Management and Network Orchestration (MANO) and Software Defined Networks (SDN) orchestrators/controllers)
    • Network monitoring and optimization
    • Interconnection equipment
    • Internet gateway functions
    • Lawful Intercept related functions
  • Dla sieci 5G
    • 5G Core database functions
    • 5G core-related services including but not limited to
      • Authentication Server Function (AUSF)
      • Access and Mobility Management Function (AMF),
      • Unstructured Data Storage Function (UDSF),
      • Network Exposure Function (NEF),
      • Intermediate NEF (I-NEF),
      • Network Repository Function (NRF),
      • Network Slice Selection Function (NSSF),
      • Policy Control Function (PCF),
      • Session Management Function (SMF),
      • Unified Data Management (UDM),
      • Unified Data Repository (UDR),
      • User Plane Function (UPF),
      • UE radio Capability Management Function (UCMF),
      • Application Function (AF),
      • 5G-Equipment Identity Register (5G-EIR),
      • Network Data Analytics Function (NWDAF),
      • Charging Function (CHF),
      • Service Communication Proxy (SCP),
      • Security Edge Protection Proxy (SEPP),
      • Non-3GPP InterWorking Function (N3IWF),
      • Trusted Non-3GPP Gateway Function (TNGF),
      • Wireline Access Gateway Function (W-AGF),
      • i innych funkcji w szkielecie wyspecyfikowanych w 3GPP TS 23.001
  • Dla sieci 4G:
    • mobile core functions, włączając w to
      • Home Subscriber Server (HSS),
      • Packet Gateway (PGW),
      • Policy and Charging Rules Function (PCRF)
      • a w pewnych wyjątkach
        • Mobility Management Entity (MME)
        • Serving Gateway (SGW).
• Jakiekolwiek wykorzystanie HRV w innych funkcjach sieci 5G lub FTTP powinno być ograniczone i uważamy, że maksymalny próg na poziomie 35% typu sprzętu sieciowego pozwala na skuteczne zarządzanie ryzykiem bezpieczeństwa cybernetycznego.
• Pułap ten odpowiednio równoważy dwa różne rodzaje ryzyka związanego z bezpieczeństwem i odpornością; pierwszym z nich jest ryzyko związane z HRV, drugim – konieczność zróżnicowania podaży na rynku.
  • W szczególności:
    • W przypadku sieci FTTP i innych gigabitowych i o większej przepustowości sieci dostępowych co najwyżej 35% lokali w zasięgu (Home passed) powinno być obsługiwanych przez sprzęt z HRV
    • W przypadku sieci dostępowych 5G najwyżej 35% spodziewanego ruchu sieciowego w danej sieci przechodzi przez sprzęt HRV i najwyżej 35% stacji bazowych w kraju w danej sieci powinno być obsługiwanych przez sprzęt z HRV.
    • Dla wszelkich innych funkcji w sieciach 5G, FTTP i innych stacjonarnych sieciach dostępowych o przepustowości gigabitowej lub wyższej, co najwyżej 35% elementów sieci z danej klasy sprzętu w danej sieci powinno być zapewnione przez HRV.
  • W przypadku sieci 4G i starszych stacjonarnych sieci dostępowych, NCSC swoje poprzednie zalecania zostawia bez zmian.
    • W sieci dostępowej należy zawsze korzystać z usług dwóch dostawców. Chociaż nie zalecono żadnego konkretnego limitu wolumenu, NCSC zawsze oczekiwało około 50/50 podziału na dostawców w danej sieci.
  • Operatorzy nigdy nie powinni wykorzystywać więcej niż jednego HRV w danej sieci;
  • NCSC uważa, że nie jest możliwe skuteczne zarządzanie ryzykiem związanym z bezpieczeństwem cybernetycznym w przypadku obecności dwóch HRV w sieci.
  • W przypadku sieci dostępowych operatorzy nie powinni używać sprzętu z HRV w pobliżu niektórych miejsc, które są istotne dla bezpieczeństwa narodowego (np. bazy wojskowe, elektrownie atomowe). Na tych obszarach sprzęt z HRV spowodowałby powstanie problemu bezpieczeństwa, który nie jest do zmitygowania. NCSC udzieliło już porad wielu zainteresowanym operatorom, a wszyscy inni, którzy uważają, że ich sieci mogą zostać dotknięte tym problemem, powinni skonsultować się z NCSC w celu uzyskania wskazówek.
  • Sprzęt HRV nie powinien być w żaden sposób wykorzystywany we wrażliwych sieciach, na przykład tych bezpośrednio związanych z działalnością rządu lub jakichkolwiek systemach związanych z bezpieczeństwem w szerszej krytycznej infrastrukturze krajowej.
  • Operatorzy powinni korzystać z HRV tylko wtedy, gdy posiada on określoną strategię ograniczania ryzyka, opracowaną i nadzorowaną przez NCSC.
• Istnieje szereg innych funkcji sieciowych, dla których poziom ryzyka cybernetycznego jest zależny od konkretnej architektury operatora i modeli działania. Poziom ryzyka oraz wymagane kontrole HRV będą musiały być określane indywidualnie dla każdego przypadku osobno. Funkcje te obejmują:
  • tych, które agregują znaczne ilości danych osobowych, takich jak systemy wsparcia biznesu (BSS), usługi lokalizacyjne, rozwiązania w zakresie opłat online i usługi zarządzane,
  • Systemy obsługujące głos,
  • systemu backupu danych i logowania,
  • Border network gateways (BNG/BRAS)
• NCSC spodziewa się, że w odpowiednim czasie udzieli dalszych porad w tych obszarach, każdy zainteresowany operator, który chce skorzystać z HRV do wykonywania jednej z tych funkcji, powinien skontaktować się z NCSC

HUAWEI

Rząd brytyjski zawsze uważał, że Huawei jest obarczony większym ryzykiem, a strategia ograniczania ryzyka istnieje od czasu, gdy po raz pierwszy firma ta zaczęła dostarczać swoje produkty do Wielkiej Brytanii. W odniesieniu do kryteriów HRV określonych powyżej, NCSC nadal uznaje Huawei za HRV, co najmniej z takich powodów:

• Huawei ma już znaczący udział w rynku w Wielkiej Brytanii, co nadaje mu znaczenie strategiczne.
• jest to chińskie przedsiębiorstwo, któremu zgodnie z chińską ustawą o wywiadzie krajowym z 2017 r. można nakazać działanie w sposób szkodliwy dla Wielkiej Brytanii
• NCSC ocenia, że państwo chińskie (i podmioty stowarzyszone) przeprowadziło i będzie nadal przeprowadzać ataki cybernetyczne na Wielką Brytanię
• doświadczenie NCSC pokazało, że bezpieczeństwo cyberprzestrzeni i jakość inżynieryjna Huawei jest niska, a jej procesy nie do końca nieprzejrzyste (blackbox). Na przykład, Rada Nadzoru HCSEC w 2018 roku wyraziła poważne obawy dotyczące procesów inżynieryjnych Huawei. Jej sprawozdanie z 2019 r. potwierdziło, że “Huawei nie poczynił żadnych istotnych postępów” w rozwiązywaniu problemów technicznych zgłoszonych w sprawozdaniu z 2018 r. i podkreśliło “dalsze istotne problemy techniczne”, które nie zostały wcześniej zidentyfikowane;
• Duża liczba podmiotów z grupy Huawei znajduje się obecnie na liście podmiotów amerykańskich (US entity list). Chociaż NCSC nie wie, czy podmioty te pozostaną na US Entity List, może to mieć potencjalny wpływ na dostępność i niezawodność produktów Huawei w przyszłości.

Rząd zgodził się, że Huawei powinien być nadal traktowany jako HRV i poprosił NCSC o rozważenie wydania tej rekomendacji, w szczególności w celu pomocy operatorom w ograniczeniu ryzyka związanego z korzystaniem z Huawei w brytyjskich sieciach telekomunikacyjnych. Aby uniknąć wątpliwości, zalecenie to nie zastępuje ani nie wypiera roli Centrum Oceny Bezpieczeństwa Cybernetycznego Huawei (Huawei Cyber Security Evaluation Centre), które będzie nadal stanowić zasadniczą część przyszłej strategii, dzięki której ryzyko przedstawione przez Huawei zostanie złagodzone.

Z punktu widzenia bezpieczeństwa cybernetycznego, NCSC doradza operatorom, którzy obecnie posiadają sprzęt Huawei w ilości przekraczającej  35% dla HRV, aby jak najszybciej zredukowali go do zalecanego poziomu. NCSC rozumie, że wymaga to czasu, ale uważa, że wszyscy operatorzy powinni mieć możliwość zredukowania wykorzystania HRV do zalecanego poziomu w ciągu 3 lat.

Inni dostawcy HRV

Huawei jest jedynym HRV, dla którego przygotowano strategię ograniczania ryzyka. Operator, który rozważa skorzystanie z usług każdego innego dostawcy, który wydaje się być objęty definicją HRV, korzystając z kryteriów przedstawionych powyżej, powinien skontaktować się z NCSC o poradę na wczesnym etapie rozmów z takim dostawcą i mieć na uwadze tę i wcześniejsze porady i zalecenia w odniesieniu do HRV. Podmioty gospodarcze z pewnością nie powinny zakładać, że wszystkie HRV są spółkami chińskimi i powinny uwzględnić wszystkie powyższe kryteria. (innymi słowy HRV może być spółka z dowolnego innego kraju – przyp. PM)

Konkluzje:

DCMS SCR pokazał potrzebę zmiany sposobu zarządzania bezpieczeństwem w infrastrukturze telekomunikacyjnej w Wielkiej Brytanii. TSR zapewnia ramy dla bezpieczeństwa następnej generacji sieci telekomunikacyjnych w Wielkiej Brytanii. SCR pokazał również, że należy bardziej formalnie i aktywnie zarządzać obecnością HRV w brytyjskiej infrastrukturze telekomunikacyjnej. NCSC będzie w dalszym ciągu uczestniczyć we wszelkich przyszłych procesach legislacyjnych i doradzać rządowi w tych kwestiach.

Zalecenie to, wydawane przez NCSC i wspierane przez DCMS i rząd, formalizują istniejące porady NCSC i aktualizują je w świetle faktu, że branża wymaga pilnych zaleceń w zakresie bezpieczeństwa w celu wsparcia wprowadzenia 5G i FTTP. Zaleca ona operatorom najskuteczniejsze środki, za pomocą których mogą oni zmniejszyć ryzyko dla swoich sieci i bezpieczeństwa narodowego Wielkiej Brytanii wynikające z obecności HRV w tych sieciach. NCSC będzie okresowo przeglądać i aktualizować te zalecenia w miarę potrzeb.

Opracowano na podstawie NCSC advice on the use of equipment from high risk vendors in UK telecoms networks

Polecam również: NCSC: The future of telecoms in the UK.