Немецкий ИБ-регулятор предупредил о рисках и опасностях открытой телеком-архитектуры Open-RAN
Федеральное ведомство по информационной безопасности Германии (Bundesamt für Sicherheit in der Informationstechnik, BSI) опубликовало аналитический отчет, в котором утверждается, что концепция Open-RAN (O-RAN) включает в себя целый ряд неразрешенных проблем и рисков в области кибербезопасности. Авторы отчета напоминают, что переход к использованию сетей связи 5-го поколения (5G) подразумевает совершенно новые области их применения, касающиеся энергетики, логистики, транспорта и других отраслей, где используется критически важная инфраструктура. Это влечет за собой новые риски в области информационной безопасности и защиты данных, передаваемых по мобильным сетям.
Исследование рисков по заказу германского регулятора BSI было выполнено ИБ-компанией Secunet. Его составители не ограничиваются рассмотрением потенциальных опасных факторов, которые касаются только 5G, но особое внимание уделяют именно внедрению 5G RAN. Они предупреждают, что участники международной организации O-RAN Alliance не реализуют спецификации O-RAN по принципам соблюдения норм информационной безопасности «по умолчанию». При этом большое количество различных интерфейсов в составе спецификаций O-RAN несет в себе потенциальные риски, от небольших и средних до достаточно серьезных.
При анализе рисков было выведено несколько гипотетических моделей атакующего. Во-первых, это «посторонний» злоумышленник, использующий при атаке уязвимости в определенных интерфейсах. Во-вторых, это «пользователь» 5G, авторизованный в сети. Он может контролировать одну или несколько легальных учетных записей. Третья модель - «облачный оператор», который обладает физическим и логическим контролем над сетью 5G-RAN, при этом также имеет доступ к легальным учетным записям пользователей. Четвертая модель - «инсайдер». Он контролирует одну сеть 5G-RAN, один или несколько компонентов O-RAN. Наконец, пятая модель - «Оператор RAN», контролирующий полностью всю сеть 5G-RAN и все компоненты O-RAN, включая подсистемы, отвечающие за информационную безопасность. По сути, это расширенный вариант «инсайдера».
Что предлагают составители документа? Меры безопасности, которые в данный момент сформулированы в качестве опциональных, должны стать строго обязательными для всех. Необходимо также исключить в официальных спецификациях O-RAN поддержку устаревших протоколов безопасности и криптографических алгоритмов. Среди прочих рекомендаций составителей отчета можно отметить фактическую реализацию архитектуры «нулевого доверия» (zero trust); предписание дополнительного резервного копирования на транспортном уровне; призыв к замене протокола SSH2 на TLS; реализация дизайна, дружественного к брандмауэрам; ограничение влияния DoS-атак на интерфейсы; рекомендацию по использованию безопасных языков программирования, таких как Rust и многое другое. Авторы напоминают о том, что проектировать безопасность на ранней стадии дешевле из-за проблем, возникающих при попытке внедрить безопасность в изначально небезопасно спроектированную структуру.
Авторы также предупреждают, что если сегодня не включить в спецификацию O-RAN вопросы, связанные с безопасностью, то в будущем можно столкнуться с теми же проблемами, с которыми столкнулись производители и операторы связи при разработке и запуске стандартов предыдущих поколений. Прочитать отчет на немецком языке можно по ссылке. Англоязычную версию BSI обещает опубликовать до января 2022 года.