Per la cyber security del 5G serve uno sforzo generale del mercato. Non concentrarsi sulla questione USA-Cina o su singoli produttori.
Al di qua e al di là dell'Atlantico, il dibattito sulla
sicurezza del 5G è diventato una questione politica. Oppure, a seconda dei punti di vista, c'è una
questione politica che si riflette sulle considerazioni di cyber security.
Huawei ed altre aziende cinesi sono da tempo al centro di questa diatriba. Che però, sostiene l'azienda cinese, presenta un doppio rischio. Da un lato distoglie l'attenzione dai veri pericoli per le reti 5G. Dall'altro frena lo sviluppo del mercato in generale.
Un mercato che - sottolinea
Hosuk Lee-Makiyama, Director dello European Centre for International Political Economy (ECIPE) - nel prossimo futuro avrà già i suoi problemi a causa della
pandemia. "
L'impatto dell'emergenza Covid va ancora valutato e stimato pienamente - spiega -
e per ora non abbiamo ancora visto le sue vere conseguenze, in particolare al di fuori delle economie meno in evidenza come Cina, UE, USA". Di certo ci sarà una
contrazione della domanda, che potrebbe aggirarsi tra il 15% e il 30%. A seconda del settore e di come evolveranno le cose nel prossimo futuro.
La flessione della domanda colpisce anche il mercato del 5G. Ma attenzione a non sovrastimare l'effetto pandemia - che certamente esiste - rispetto a dinamiche che erano già in atto, sottolinea Lee-Makiyama.
Il mercato 5G si stava già prima dividendo a metà. Da un lato la Cina, che è già sensibilmente più avanti nello sviluppo delle reti. Dall'altro il resto del mondo, più indietro.
In particolare
l'Europa, dove il 5G
cresce a rilento per motivi ben diversi dal coronavirus. "
L'Europa resta indietro - sottolinea Hosuk Lee-Makiyama -
perché i suoi operatori hanno una bassa capacità di investimento, preferendo dare priorità ai dividendi per gli investitori... C'è anche una domanda minore del mercato per ragioni culturali: in Europa c'è meno interesse per il broadband e il lavoro in mobilità, rispetto ad altre regioni del mondo".
Nella posizione relativamente arretrata dell'Europa la cyber security c'entra poco, secondo Ecipe. Quando l'Unione Europea ha formalmente stabilito che il core delle reti dei suoi operatori è un asset strategico,
ha di fatto reso più chiare le regole del gioco. Il "
security toolbox" dell'Unione per il 5G non guarda alle singole aziende fornitrici - come Huawei - ma al complesso delle infrastrutture. Ci sono
indicazioni a livello di sistema per cui gli operatori 5G possono ridurre il loro rischio cyber. In particolar modo attraverso la differenziazione dei loro fornitori.
È un approccio diverso da quello degli Stati Uniti. L'Europa non nega la possibilità "di
interferenza da parte di un paese terzo o di soggetti sostenuti da governi di paesi terzi attraverso la catena di approvvigionamento del 5G", come recita il Toolbox for 5G Security. Ma non affronta questi pericolo con le "liste nere" governative
dei produttori. Punta a un
approccio proporzionale al livello di rischio. E, nel caso servisse un confronto, per i Governi UE la controparte è comunque Pechino, il tema sono le garanzie internazionali.
Le contromisure per la cyber security previste dalle linee guida della Unione EuropeaL'Ecipe lascia intendere che l'approccio europeo alla cyber security del 5G è sostanzialmente corretto. Anche perché la sicurezza cyber è un problema globale e di sistema. Che si affronta altrettanto globalmente e con politiche di sistema.
La focalizzazione sulla security degli apparati - e quindi dei loro fornitori - è fuorviante. Perché facendo una statistica delle security breach del 2019 si stima che i difetti tecnologici ne siano stati la causa solo nel 9% dei casi.
Pesano molto di più le vulnerabilità introdotte per errori o mancanze nella parte di
configurazione (32% delle brecce) e soprattutto di
gestione (47%). Con quest'ultimo campo che raccoglie molti dei problemi che i CISO devono affrontare. Prodotti e piattaforme non più supportate dai loro vendor, gestione degli accessi alle risorse di rete, cifratura limitata, versioni inadatte dei software e via elencando.
Da qui lo stimolo principale di Huawei lato sicurezza: serve
trasparenza, certo. Ma non solo dei vendor, anche di tutti coloro che operano nel mercato 5G. Una trasparenza che è soprattutto mettere a fattor comune le proprie esperienze e le proprie conoscenze. Come anche
utilizzare framework e procedure comuni per la cyber security. Per analizzare lo stato della sicurezza delle infrastrutture di rete. Come per valutare l'affidabilità dei singoli prodotti e garantirla nel tempo. Specie in un mercato che vede gli investimenti in ottiche da 10-15 anni.
"
Huawei punta sulla trasparenza - spiega in questo senso
Andy Purdy, Chief Security Officer di Huawei Technologies USA -
e invita le altre aziende a fare altrettanto, a vantaggio di tutti. Serve alzare il livello di sicurezza del settore delle telecomunicazioni nel suo complesso". Un approccio di sistema alla sicurezza, insomma. Un terreno comune per tutti che metta al sicuro gli utenti.
In parte lo si può fare con i processi interni dei singoli vendor. Huawei ritiene di avere fatto proprio il tema della cyber security end-to-end, da quando ha iniziato ad
affrontarlo sistematicamente una ventina di anni fa. Ora la sicurezza fa parte dei processi della casa cinese sin dalla fase di ricerca e sviluppo. E comprende vari approcci che la rafforzano, con il coinvolgimento degli utenti e di
entità terze indipendenti per la certificazione.
Per la maggior parte servono però regole comuni. A questo punto, spiega Purdy, "
La community globale delle telecomunicazioni deve recepire una vera e propria call to action, è essenziale per il mercato". Cosa che può, secondo Huawei, avvenire anche nell'ambito delle organizzazioni internazionali che già esistono. Servono
standard minimi di sicurezza e trasparenza, ci sono almeno due linee di sviluppo ufficiali che le possano dare. Ampliando l'ambito di quello che già fanno.
Il riferimento è in primo luogo al
Nesas di 3GPP e GSMA. Il
Network Equipment Security Assurance Scheme oggi è un framework di settore per la sicurezza nello sviluppo dei prodotti TLC, e lungo il loro ciclo di vita. Dovrebbe secondo Huawei diventare un vero e proprio standard internazionale. E convergere in parte con i più noti
Common Criteria, che si applicano
in generale ai prodotti tecnologici. L'invito di Huawei è stato presentato, sarà da valutare se e quanto verrà recepito.