Jak testować 5G, aby mieć pewność, że kod i sprzęt są bezpieczne?

To samo tyczy się infrastruktury 5G, która od kilku miesięcy dominuje nagłówki mediów za sprawą napięcia na linii Chiny - Stany Zjednoczone. Jakie mamy opcje weryfikacji technologii? Okazuje, się, że w życie wchodzi właśnie standard, który idealnie wpisuje się w rynkowe potrzeby, to NESAS, o którym opowiada mi Rafał Jaczyński, szef bezpieczeństwa Huawei w regionie Europy Środkowo-Wschodniej i krajach nordyckich.

Wywiad publikujemy w kilka dni po tym, kiedy zarówno sprzęt sieci rdzeniowej, jak i bezprzewodowej 5G od Huawei pomyślnie przeszedł weryfikację w ramach NESAS-a.

Karol Kopańko, Spider's Web: Czy możemy najpierw rozrysować szeroki pejzaż testowania technologii w polskiej (i nie tylko) telekomunikacji?

Rafał Jaczyński: Sięgnijmy w takim razie do historii - do wczesnych lat 90. Od początku operatorzy byli głównie pozostawieni sami sobie w sferze badania bezpieczeństwa sprzętu i oprogramowania. Rządy były zainteresowane jedynie uregulowaniem kwestii tzw. legalnych podsłuchów, zostawiając wszystkie testy operatorom. Tymczasem stawianie laboratoriów od zera wiąże się z dużym kosztem.

A biznes operatorski to nie są kokosy - często słyszymy o docieraniu do kresu penetracji rynku.

Przez ostatnie pięć lat operatorzy stracili ok. 40 proc. przychodów. Penetracja rynku smartfonów jest już na stałym poziomie.

Kto miał kupić komórkę, ten już ją kupił.

Tak, jesteśmy czwartym krajem pod tym kątem w Unii Europejskiej. Penetracja usługami mobilnego internetu wynosi ponad 180 proc., co oznacza, że prawie każdy statystyczny Polak korzysta już z mobilnego internetu na dwóch różnych urządzeniach Mieliśmy też ponad 52 mln aktywnych kart SIM na koniec 2019 roku. Niespecjalnie jest więc komu sprzedawać nowe usługi.

Z drugiej strony ruch w sieciach mobilnych wzrósł w ciągu ostatnich 5 lat blisko siedmiokrotnie. Jest to więc biznes unikatowy. Kiedy budka z hot dogami sprzedaje więcej kiełbasek, jej przychody rosną. Tutaj natomiast sprzedajesz więcej, a zarabiasz coraz mniej.

Więc może to dostawcy powinni finansować testy, aby upewniać operatorów, że nie są na bakier z bezpieczeństwem?

Tak się dzieje teraz, ale podobnie jak wyżej, długofalowo nie ma to niestety ekonomicznego uzasadnienia. Stowarzyszenie 

GSMA ma 750 członków, więc gdybyśmy musieli robić niezależne testy dla każdego z nich, to nasz biznes przestałby niestety być opłacalny. Nie tędy droga. O wiele lepiej oprzeć się o standardy, które byłyby powtarzalne dla wszystkich uczestników rynku, niezależnie od kraju, z którego pochodzą.

Obecnie spotyka się stwierdzenia w stylu trusted vendor (zaufany dostawca) - nie może to zostać jak jest?

Nie ma to nic wspólnego ze sprawiedliwymi testami, bo oznacza najczęściej, że dostawca pochodzi z kraju, który akurat "lubimy". A przecież przyszłość może przynieść dostawców, którzy doskonale radzą sobie z technologią, ale pochodzą z Indii czy Malezji. Bez wprowadzenia jasnych standardów będziemy skazani na taką samą dyskusję jak obecnie.

Co więc zmienia się na rynku?

Zmiany obserwujemy już od ośmiu lat. Wtedy to 3GPP rozpoczęło prace nad standardem NESAS. 

To właśnie tej organizacji zawdzięczamy SCAS-y (Security Assurance Specification), czyli wytyczne nt. tego, co sprawia, że dane rozwiązanie jest bezpieczne. 

Dwa lata później do projektu dołączyło stowarzyszenie GSMA, które przejęło pałeczkę i wzbogaciło NESAS-a o stronę procesową i kompetencyjną dostawcy.

Jakie kompetencje podlegają testom?

Trzeba sprawdzić umiejętności dostawcy i to, w jaki sposób nie tylko projektuje i buduje rozwiązania, ale również możliwość wsparcia poprawkami bezpieczeństwa. Nawet jeśli dane rozwiązanie wygląda poprawnie, to musimy wiedzieć czy to łut szczęścia, czy dostawca po prostu zna się na tym, co robi. Wiążemy się z nim na dłużej, więc konieczny jest audyt procesowy.

A co z certyfikacją Common Criteria? Przecież ją też wykorzystuje się do poświadczenia, że rozwiązanie jest bezpieczne. Huawei dostał nawet taki certyfikat od hiszpańskiego laboratorium.

To prawda. Common Criteria dobrze opisuje wymagania w stosunku do samego laboratorium i sposobu testowania. Tłumacząc obrazowo: wiemy, czy opukać pudełko, otworzyć je, wykręcić śrubki i każdą obejrzeć pod mikroskopem. To wszystko jest dobrze opisane, więc cały proces jest powtarzalny.

Słabością Common Criteria jest jednak brak wspólnych wymagań, które określałyby co konkretnie ma być testowane w danym rodzaju produktu. Mogło się więc tak zdarzyć, że dostawca A testował rozwiązanie pod kątem X, a dostawca B testował to samo, ale pod kątem Y. Wyniki nie były więc miarodajne.

Więc kiedy dwóch dostawców przychodzi do operatora z tym samym certyfikatem, to wcale nie oznacza, że operator ma łatwy orzech do zgryzienia.

Właśnie dlatego nie da się w tej chwili w prosty sposób zastosować Common Criteria do testowania sieci 5G.

Jak do tego podchodzi NESAS?

Common Criteria i NESAS to dwa pomysły, które starają rozwiązać ten sam problem, wychodząc z innych miejsc.

Czym się różnią?

Porównując te dwa podejścia, Common Criteria aktualnie lepiej odpowiada na pytanie „jak testować”, NESAS ma lepszą odpowiedź na pytanie „co testować”.

A sam test - już tak praktycznie - czym się będzie różnił?

Zaczyna się bardzo podobnie. Producent dostarcza produkt, który jest przedmiotem testów. Następnie w przypadku Common Criteria uzgadniamy zestaw wymagań, czyli co testujemy. Dzielimy się informacjami o produkcie, tłumacząc funkcje bezpieczeństwa i ich działanie. Ustalamy poziom testów, przykładowo na czwarty.

Co ten poziom czwarty oznacza?

To głębokość testów. Poziom czwarty to najwyższy poziom racjonalnych testów dla urządzenia, którego głównym zadaniem nie jest zapewnianie bezpieczeństwa. Nie jest to więc tak zamknięte środowisko, jak pojedyncza karta mikroprocesorowa, która skupia się w większości na zapewnieniu bezpieczeństwa. Stacja bazowa ma setki milionów linijek kodu i o wiele więcej zadań, niż tylko zapewnienie bezpieczeństwa.

Co by się stało, gdybyśmy stację bazową testowali na siódmym poziomie?

Byłaby niezwykle bezpieczna, ale prawdopodobnie by nie działała.

Rozumiem. I dalej laboratorium przystępuje do pracy?

Tak, Common Criteria zawiera konkretną ścieżkę testów. Prace laboratorium kończą się raportem, który trafia do jednostki certyfikacyjnej, czyli w polskim przypadku do NASK-u, który analizuje raport i decyduje o wydaniu certyfikatu.

A jak to wygląda w przypadku NESAS-a?

Sam proces weryfikacji jest zbliżony. W przypadku NESAS-a nie ma jednostki certyfikującej, która stawia pieczątkę na raporcie, jest raport, pod którym podpisują się organizacje przeprowadzające testy techniczne i audyt proceduralny

Inną różnicą jest długość testów. W przypadku NESAS-a trwają one od 3 do 6 miesięcy. W Common Criteria na poziomie czwartym możemy mówić nawet o 1,5 roku testów.

Przecież to wieczność w świecie technologii, gdzie każdy rok przynosi nową generację urządzeń.

Dokładnie. NESAS ma szansę o wiele lepiej „nadążać” za cyklem życia produktu. Z drugiej strony Common Criteria jest standardem o wiele bardziej dojrzałym. Już teraz obsługuje go 80 laboratoriów. W przypadku NESAS-a tych laboratoriów jest kilka i są dwie firmy, które zajmują się ich audytem procesowym.

Innym wyzwaniem, który wynika z niewielkiego stażu NESAS-a, jest zakres technik, które są wykorzystywane do weryfikacji – na przykład brak jest testów penetracyjnych. Wykonuje się tu jedynie skanowania, które są poszukiwaniem znanych podatności. Brakuje prób zmuszenia urządzenia do zachowywania się inaczej, niż sobie to zażyczyli programiści.

Dlaczego? Obie rzeczy wydają się kluczowe.

NESAS ewoluuje z roku na rok, dodając kolejne elementy do swojej specyfikacji. Można podejrzewać, że w pierwszej wersji po prostu zabrakło czasu na zestandaryzowanie testów penetracyjnych.

Wyzwaniem w tym przypadku jest zapewnienie porównywalności testów, ponieważ nie ma czegoś takiego, jak uznana przez wszystkich metodyka testów penetracyjnych. Chodzi o to, aby testy jednego laboratorium były porównywalne z testami innego. A tu każdy testuje inaczej. Trudno jest zakuć taki twórczy proces w jakieś sformalizowane ramy. NESAS 2.0 na pewno będzie jednak udoskonalany w stosunku do tego, co mamy teraz. Wiadomo już, że standard zostanie rozszerzony właśnie o testy penetracyjne i weryfikację mechanizmów kryptograficznych. 

Wyszliśmy od rozmowy o ogólnym standardzie, który dałby pewność wszystkim uczestnikom rynku. Wróćmy do tej kwestii w kontekście NESAS-a.

Obecnie NESAS i Common Criteria się uzupełniają, oba zresztą są kandydatami na schematy certyfikacyjne zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2019/881 z dnia 17 kwietnia 2019, znanym jako „Cybersecurity Act”. NESAS ma większą szansę na zastosowanie konkretnie do sieci 4G i 5G, dlatego coraz częściej znajduje on uznanie u rządów państw europejskich – np. Niemcy promują jego przyjęcie jako standardu europejskich testów. Austria zaś odwoła się do NESAS-a, kiedy tworzyła własne wymagania dla technologii 5G.

Skoro już teraz powołują się na niego kraje, to kto będzie nim zarządzał w przyszłości?

Zarządzanie NESAS-em zostanie przekazane do Komisji Europejskiej. To ona musi trzymać pieczę nad standardem, bo Stowarzyszenie GSMA to organizacja komercyjna, która nie może chociażby - według Cybersecurity Act - akredytować laboratoriów i jednostek certyfikujących. Tylko w ten sposób NESAS stanie się paneuropejskim standardem, rozpoznawanym na poziomie rządowym.

Jakie to będzie miało konsekwencje?

Kiedy jakaś technologia zostanie certyfikowana jako zgodna z NESAS-em w Polsce, to będzie to poświadczenie uznawane zgodnie z Cybersecurity Act w całej Unii Europejskiej.

I to powinno ucinać dyskusje o bezpieczeństwie danego oprogramowania lub sprzętu?

Powinno.

*Partnerem wywiadu jest Huawei.