Lo spettro di un ipotetico Paese extra-UE interessato a colpire le reti 5G aleggia sull'Europa. La relazione sulla valutazione del rischio delle reti di quinta generazione, pubblicata ieri dalla Commissione UE, non fa alcun esplicito riferimento a Huawei, ZTE o altri produttori ma fra le righe si intuisce molta cautela. Huawei comunque ha già assicurato massima collaborazione con i partner europei per elaborare un piano di cybersicurezza che fornisca "connessioni sicure e veloci per le esigenze future dell'Europa".
Stati membri, Commissione e Agenzia europea per la cybersecurity concordano che è essenziale garantire la sicurezza della nuova rete per le implicazioni che avranno su settori critici come l'energia, i trasporti, le banche e la salute, nonché i sistemi di controllo industriale che trasportano informazioni sensibili e supportano i sistemi di sicurezza.
Il documento identifica le principali minacce e vulnerabilità, nonché una serie di rischi strategici. Prima di tutto, a parte le innovazioni in tema di sicurezza che ci si aspetta, sarà chiave "il ruolo dei fornitori nella costruzione e gestione delle reti 5G e il grado di dipendenza dai singoli fornitori". Fondamentale quindi affidarsi a più aziende per ridurre l'esposizione a una potenziale interruzione dell'offerta, derivante ad esempio da un fallimento commerciale e dalle sue conseguenze.
Questi ultimi saranno poi particolarmente esposti sul lato software e senza processi di sviluppo adeguati potrebbero rischiare l'inserimento di backdoor. "A causa delle nuove caratteristiche dell'architettura di rete 5G e delle nuove funzionalità, alcune apparecchiature o funzioni di rete stanno diventando più sensibili, come le stazioni radio base o le principali funzioni di gestione tecnica delle reti", si legge nella nota UE.
"In questo contesto di maggiore esposizione agli attacchi facilitati dai fornitori, il profilo di rischio dei singoli fornitori diventerà particolarmente importante, inclusa la probabilità che il fornitore sia soggetto a interferenze da un paese extra UE", prosegue la Commissione.
Un'altra priorità è quella di creare un nuovo paradigma di sicurezza, che consente di rivalutare la politica e il quadro di sicurezza applicabili al settore e al suo ecosistema affinché gli Stati membri adottino le necessarie misure di mitigazione.
"A complemento della relazione degli Stati membri, l'Agenzia europea per la sicurezza informatica sta finalizzando una mappatura specifica del panorama delle minacce relativa alle reti 5G, che prende in considerazione più dettagliatamente alcuni aspetti tecnici trattati nella relazione", conclude la nota.
I prossimi passi sono già stati definiti. Entro il 31 dicembre 2019, il gruppo di cooperazione dovrebbe concordare una serie di misure di mitigazione per affrontare i rischi di cybersecurity identificati a livello nazionale e dell'Unione. Entro il 1° ottobre 2020, gli Stati membri, in collaborazione con la Commissione, dovrebbero valutare gli effetti della raccomandazione al fine di stabilire se siano necessarie ulteriori azioni. Tale valutazione dovrebbe tenere conto dei risultati della valutazione coordinata europea dei rischi e dell'efficacia delle misure.