Privacy e sicurezza • Infine, le procedure operative e gestionali (orchestrazione delle risorse di rete, configurazione, profili del personale operativo, automazione, ecc.) non sono definite (o completamente definibili) dallo standard tecnologico ma influiscono pesantemente sulla sicurezza della rete nel suo complesso. Nel complesso si usa dire che, a differenza delle precedenti generazioni, il 5G amplifica le superfici di possibile attacco informatico. Gli aspetti elencati indicano la necessità di affrontare la sicurezza del 5G integrando i miglioramenti dello standard 3GPP con ulteriori interventi in altre sedi. È quanto è accaduto e ancora sta accadendo, come evidenziato nel seguito. I nuovi modelli di Assurance A partire dal 2018 la GSMA, l’alleanza che raduna tutti gli operatori di comunicazioni mobili, ha promosso un modello di Assurance denominato NESAS (Network Equipment Security Assurance Scheme) che definisce un processo di verifica volontaria, a cura dei fornitori, della corretta implementazione degli standard 3GPP 5G e di corrette pratiche di sviluppo SW per i prodotti di rete commercializzati. Il modello si basa su alcuni importanti capisaldi: • il 3GPP definisce, per ogni funzione di rete standardizzata, una specifica di test (Security Conformance Assurance Scheme - SCAS) a cui sottoporre una implementazione dello standard; • la GSMA predispone e tiene aggiornato un manuale di requisiti da seguire nel processo di produzione del prodotto (SW lifecycle); • la GSMA seleziona dei laboratori indipendenti internazionali accreditati a cui i fornitori possono sottoporre i loro prodotti per l’effettuazione dei test SCAS pertinenti; • la GSMA, per ogni prodotto proposto, nomina un Auditor che verifica il rispetto del SW lifecycle; • il fornitore, sulla base dei report di Laboratori e dell’Auditor, dichiara la sua conformità e la propone all’operatore di rete acquirente. La figura 6 riassume il processo. Attualmente tutte le Network Functions specificate sino alla Rel.17 sono coperta da SCAS, mentre il manuale GSMA copre oltre 20 aree di riferimento (inclusi i processi di progettazione, codifica, controllo del codice, documentazione, change tracking, ecc.). A dicembre 2022 [4] risultavano validate 11 linee di prodotti di rete 5G da parte dei principali fornitori di rete (Ericsson, Nokia, Huawei, ZTE, Mavenir, Samsung). Lo schema di Assurance proposto dalla GSMA per i prodotti di rete 5G ha certamente molti vantaggi, ma non si può comunque ritenere risolutivo. Alcuni punti di attenzione sono così riassumibili: • lo schema è volontario, e non corrisponde ad oggi a una certificazione dei prodotti di rete da parte di un Ente ufficialmente riconosciuto, ad esempio a livello europeo; • i test non possono essere escludere la presenza di funzionalità SW inopportune (ad es., backdoor), annidate nelle milioni di righe di codice che compongono un prodotto; • lo schema non verifica la correttezza delle interfacce di rete, né può sostituire prove End 2 End, o di interoperabilità o prove da effettuarsi in campo, in ambienti cloud e virtualizzati; • lo schema è basato su un modello tradizionale di prodotto (black/grey box) monofornitore che è difficile da applicare in prodotti a interfacce interne aperte (disaggregation) o Open Source; • lo schema di Assurance (e i relativi test) non si applica ai devices e ai relay points in rete. Per indirizzare queste perplessità e rafforzare la propria immagine, alcuni leader di mercato come Huawei hanno affiancato a questo modello di Asmarzo/aprile 2023 23 Figura 6 Modello di Assurance NESAS - Fonte: GSMA √
RkJQdWJsaXNoZXIy MTA3MTUxMQ==