Los Estados miembros, con el apoyo de la Comisión y la Agencia Europea para la Ciberseguridad, publicaron el 9 de octubre, un informe sobre la evaluación coordinada de riesgos de la UE sobre ciberseguridad en redes de quinta generación (5G). Este importante paso es parte de la implementación de la Recomendación de la Comisión Europea adoptada en marzo de 2019 para garantizar un alto nivel de ciberseguridad de las redes 5G en toda la UE.
Las redes 5G son la columna vertebral futura de nuestras economías y sociedades cada vez más digitalizadas. Miles de millones de objetos y sistemas están conectados, incluso en sectores críticos como energía, transporte, banca y salud, así como sistemas de control industrial que transportan información sensible y sistemas de seguridad de apoyo. Por lo tanto, garantizar la seguridad y la resistencia de las redes 5G es esencial.
El informe se basa en los resultados de las evaluaciones nacionales de riesgos de ciberseguridad de todos los Estados miembros de la UE. También identifica las principales amenazas y actores de amenazas, los activos más sensibles, las principales vulnerabilidades (incluidas las técnicas y otros tipos de vulnerabilidades) y una serie de riesgos estratégicos.
Esta evaluación proporciona la base para identificar medidas de mitigación que pueden aplicarse a nivel nacional y europeo.
Principales ideas de la evaluación coordinada de riesgos de la UE
El informe identifica una serie de desafíos de seguridad importantes, que probablemente aparezcan o se vuelvan más prominentes en las redes 5G, en comparación con la situación en las redes existentes:
Estos desafíos de seguridad están principalmente relacionados con:
- innovaciones clave en la tecnología 5G (que también traerá una serie de mejoras de seguridad específicas), en particular la parte importante del software y la amplia gama de servicios y aplicaciones habilitados por 5G;
- el papel de los proveedores en la construcción y operación de redes 5G y el grado de dependencia de proveedores individuales.
Concretamente, se espera que el despliegue de las redes 5G tenga los siguientes efectos:
- Una mayor exposición a los ataques y más posibles puntos de entrada para los atacantes: con las redes 5G cada vez más basadas en software, los riesgos relacionados con fallos de seguridad importantes, como los derivados de procesos de desarrollo de software deficientes dentro de los proveedores están ganando importancia. También podrían facilitar a los actores de amenazas la inserción maliciosa de puertas traseras en los productos y dificultar su detección.
- Debido a las nuevas características de la arquitectura de red 5G y las nuevas funcionalidades, ciertos equipos o funciones de la red son cada vez más sensibles, como las estaciones base o las funciones clave de gestión técnica de las redes.
- Una mayor exposición a los riesgos relacionados con la dependencia de los operadores de redes móviles en los proveedores. Esto también conducirá a un mayor número de rutas de ataques que podrían ser explotadas por los actores de amenazas y aumentará la gravedad potencial del impacto de tales ataques. Entre los diversos actores potenciales, los Estados no pertenecientes a la UE o respaldados por un Estado se consideran los más serios y los más propensos a atacar las redes 5G.
- En este contexto de mayor exposición a los ataques facilitados por los proveedores, el perfil de riesgo de los proveedores individuales será particularmente importante, incluida la probabilidad de que el proveedor esté sujeto a la interferencia de un país no perteneciente a la UE.
- Un aumento de los riesgos de las principales dependencias de los proveedores: una dependencia importante de un solo proveedor aumenta la exposición a una posible interrupción del suministro, como resultado, por ejemplo, de una falla comercial, y sus consecuencias. También agrava el impacto potencial de las debilidades o vulnerabilidades, y de su posible explotación por parte de los actores de amenazas, en particular cuando la dependencia concierne a un proveedor que presenta un alto grado de riesgo.
- Las amenazas a la disponibilidad e integridad de las redes se convertirán en importantes problemas de seguridad: además de las amenazas a la confidencialidad y la privacidad, ya que se espera que las redes 5G se conviertan en la columna vertebral de muchas aplicaciones críticas de TI, la integridad y disponibilidad de esas redes se convertirán en importantes problemas de seguridad nacional y en un gran desafío de seguridad desde la perspectiva de la UE.
Juntos, estos desafíos crean un nuevo paradigma de seguridad, por lo que es necesario reevaluar la política actual y el marco de seguridad aplicable al sector y su ecosistema y además es esencial para que los Estados miembros tomen las medidas de mitigación necesarias.
Agencia Europea para el panorama de amenazas de seguridad cibernética
Para complementar el informe de los Estados miembros, la Agencia Europea para la Seguridad Cibernética está finalizando un mapeo específico del paisaje de amenazas relacionado con las redes 5G, que considera con más detalle ciertos aspectos técnicos cubiertos en el informe.
Próximos pasos
Para el 31 de diciembre de 2019, el Grupo de Cooperación deberá acordar una caja de herramientas de medidas de mitigación para abordar los riesgos de ciberseguridad identificados a nivel nacional y de la Unión.
A más tardar el 1 de octubre de 2020, los Estados miembros, en cooperación con la Comisión, deben evaluar los efectos de la Recomendación para determinar si es necesario tomar medidas adicionales. Esta evaluación debería tener en cuenta el resultado de la evaluación europea coordinada del riesgo y la eficacia de las medidas.
Antecedentes
El 26 de marzo de 2019, después de recibir el apoyo del Consejo Europeo, la Comisión adoptó una Recomendación sobre ciberseguridad de las redes 5G que exhorta a los Estados miembros a completar las evaluaciones nacionales de riesgos y revisar las medidas nacionales y trabajar juntos a nivel de la UE en una evaluación coordinada de riesgos y una caja de herramientas común de medidas de mitigación.
A nivel nacional, cada Estado miembro ha completado una evaluación nacional de riesgos de las infraestructuras de red 5G y ha transmitido los resultados a la Comisión y a ENISA, la Agencia de la UE para la ciberseguridad. Las evaluaciones de riesgos nacionales revisaron en particular las principales amenazas y actores de amenazas que afectan las redes 5G, los activos 5G sensibles y las vulnerabilidades relevantes, incluidas las técnicas, como las que potencialmente surgen de la cadena de suministro de 5G, en línea con la Recomendación de la CE.
Más información
Evaluación coordinada de riesgos de la UE sobre ciberseguridad en redes de quinta generación (5G)
Recomendación de la Comisión Europea
Más información en el bloque temático de Defensa y Seguridad
Deja una respuesta