Megszülte az EU, mit kezdjen az 5G-s hálózatok biztonságával

Fontos mérföldkőhöz ért ma az az uniós szintű koordinált cselekvésfolyamat, mely az 5G-s mobilhálózatok használatával járó biztonsági kihívásokat azonosítja, illetve teret enged a tagállamok számára azok minimalizálására. A hálózatok és informatikai rendszerek biztonságáról szóló 2016-os EU-direktíva alapján létrehozott NIS Együttműködési Csoport tagjai által összeállított szakmai anyagban már olyan, konkrét megelőzési javaslatok szerepelnek, melyeket a tagországokban működő 5G-s hálózatok kiépítése során figyelembe kell venni.

A most kiadott, nem kötelező érvényű javaslatcsomagot (toolbox) az az egész Európai Unióra kiterjedő kockázatértékelési tanulmány előzte meg tavaly ősszel, melyet a Bizottság kezdeményezésére, a tagállamok illetékes szervei (hazánkban ez a Nemzeti Kibervédelmi Intézet) által megküldött adatok alapján állított össze a Bizottság és az Európai Uniós Kiberbiztonsági Ügynökség (ENISA). A jelentés célja az volt, hogy feltárja az 5G-s hálózatok üzemeltetése során felmerülő főbb (nemzet)biztonsági kockázatokat, melyet egy uniós szintű kockázatcsökkentő intézkedéscsomag kidolgozása követ majd. 

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A javaslatcsomag szerint minden tagállamnak lépéseket kell tennie annak érdekében, hogy az azonosított, illetve a jövőben potenciálisan előforduló kiberbiztonsági kihívásokra megfelelő módon és kellő időben reagáljon, illetve azokat megelőzze. A tagországoknak a megfelelő törvényi keretek biztosításával szükség esetén fel kell ruházniuk a szakszolgálatokat és szakhatóságokat új jogkörökkel a kívánt cél(ok) eléréséhez. Ezek többek közt:

• Szükségessé válhat a mobilszolgáltatók működésével összefüggő biztonsági előírások szigorítása (hozzáférés, üzemeltetés szigorítása, illetve bizonyos funkciók kiszervezésének korlátozása),
• A magas kockázati besorolású beszállítók szerepének minimalizálása, szükség esetén teljes korlátozása a kritikus infrastruktúrákban.
• Több beszállítóra támaszkodó (multi-vendor) stratégia támogatása, illetve előírása az operátorok részére.

A csomag - akárcsak az ENISA által készített tavaly őszi tanulmány - ezúttal sem konkretizálja, hogy melyik beszállító számít "kockázatosnak", a diplomáciai virágnyelv alapján ugyanakkor egyértelmű, hogy a kínai gyártók, így elsősorban a Huawei számíthat arra, hogy európai működésére, jelenlétére valamilyen formában hatással lesz a most zajló szakpolitikai folyamat. A tagországoknak egyébként április 30-ig van idejük arra, hogy lépéseket tegyenek a javaslatcsomag valamilyen formában történő implementálására, június 30-án pedig be kell számolniuk róla a Bizottságnak, hogyan halad a folyamat.

ÁRTATLAN, AMÍG AZ ELLENKEZŐJE BE NEM BIZONYOSODIK

Fontos leszögezni, hogy a tagországok ezzel együtt is lényegében szabad kezet kapnak annak eldöntése kapcsán, milyen konkrét intézkedéseket és korlátozásokat foganatosítanak egyes beszállítókkal szemben. A magyar szakpolitikai nyilatkozatok eddig az ártatlanság vélelme elvén nem helyeztek kilátásba semmilyen korlátozást kínai piaci szereplőkkel szemben, emellett a hazánkban működő három mobilszolgáltatóból kettőnél kínai beszállító berendezéseiből épül fel a teljes mobilhálózat.

A magyar mobiltávközlési szektorra egyébként sem jellemző az EU által favorizált multi-vendor megközelítés, hiszen mindegyik operátor egy-egy beszállítóval dolgozik (Telekom - Ericsson, Vodafone - Huawei, Telenor - ZTE), igaz, ez a beszállító két esetben (a Telekomnál és a Vodafone-nál) csak a mobilhálózathoz biztosít alkotóelemeket, a vezetékes hálózathoz nem.