Vlada posodobila seznam 'nevarnih' funkcij v omrežju 5G

Vlada je na včerajšnji seji sprejela spremembe sklepa iz leta 2020 o ukrepih za zmanjšanje tveganj v omrežjih 5G. Ocenila je namreč, da je kljub spremembam, ki jih je ta prinesel, "ostajala potreba po hitrem in učinkovitem zagotavljanju nacionalne kibernetske varnosti". 

Pri predlagani posodobitvi so tako "upoštevali razvoj tehnologije, še posebej na področju orkestracije mobilnih omrežij in njihovega upravljanja, vključno z radijskim delom, saj bi se v nasprotnem primeru izpostavili nesprejemljivim tveganjem za nacionalno kibernetsko varnost".

Nove točke omejujejo uporabo opreme tistih dobaviteljev, ki bi lahko bili nevarni

Če sklep pogledamo od bližje, vlada spreminja 3. točko sklepa iz leta 2020, in sicer tako, da z vidika varnosti dodatno omejuje operaterje mobilnih komunikacijskih omrežij pri uporabi opreme dobaviteljev z visokim tveganjem. 

Navedena so nova področja, ki zadevajo upravljanje, in sicer naročniki in šifrirni mehanizmi, medmrežno povezovanje, upravljanje omrežne storitve, upravljanje in orkestracija virtualiziranih omrežij, radijsko dostopno omrežje, upravljavski in drugi podporni sistemi ter zakonito prestrezanje. 

Na teh področjih se glede na navedene spremembe med drugim iz varnostnih razlogov lahko prepove uporaba avtentifikacije uporabnikov in opreme z omrežjem, funkcije za avtentifikacijo, upravljanje dostopnih pravic, funkcije gostovanja in vmesnikov do drugih omrežij in storitev, registracijo in avtorizacijo omrežnih storitev, hrambo in obdelavo komunikacijskih, lokacijskih in prometnih podatkov ter izpostavljenost omrežja in omrežnih funkcij zunanjim aplikacijam in storitvam. Med temi se najde tudi možna omejitev baznih postaj, ki podpirajo tehnologijo 5G ali višje. 

Pri načrtovanju sprememb urad v mislih ni imel Huaweiija in ZTE

Kot so razložili pri Uradu za informacijsko varnost, usmeritve temeljijo izključno na priporočilu evropskega komisarja za notranji trg Thierryja Bretona o kibernetski varnosti omrežij 5G, ki jih je podal 15. junija letos.

Najvišji uradnik Evropske unije je namreč takrat več držav EU pozval, naj kitajskim telekomunikacijskim podjetjem Huawei in ZTE prepovejo dostop do njihovih omrežij 5G. Želi, da bi več držav članic odstranilo "visoko tvegane" dobavitelje iz svojih nadgradenj mobilne internetne infrastrukture, pri čemer je navedel tveganja nacionalne varnosti.

Na uradu vlade za informacijsko varnost vztrajajo, da se posodobljen slovenski pristop ne nanaša na nobeno podjetje posebej. "Gre za konkreten sklep, ki je bil sprejet za varnost. Dobavitelji niso imenovalni posebej," so nam razložili.

Sklep iz leta 2020 že vseboval ustrezno obrazložitev. Kdaj je dobavitelj potencialno nevaren?

Sklep Vlade RS, ki so ga sprejeli konec septembra 2020, o sprejemu ukrepov za zmanjšanje tveganj v omrežjih 5G je sicer že vseboval ustrezno obrazložitev potrebe po urejanju navedenega področja na podlagi zakona, ki ureja kritično infrastrukturo, pojasnjujejo na uradu za informacijsko varnost.

V tem času je bil sprejet Zakon o elektronskih komunikacijah (ZEKom-2), ki v poglavju o varnosti omrežij in storitev ter delovanju v stanjih ogroženosti naslavlja zmanjšanje tveganj v omrežjih 5G. Vendar pa, pravijo, kljub njegovemu sprejemu, ostaja potreba po hitrem in učinkovitem zagotavljanju nacionalne kibernetske varnosti.

Vlada po tem zakonu iz leta 2020 za potencialno grožnjo nacionalni varnosti razume, če so izpolnjena vsaj štiri izmed naslednjih meril: 1) močna povezanost med dobaviteljem oziroma ponudnikom ter vlado določene države; 2) zakonodaja tretje države na področju varnosti ali varovanja podatkov omogoča vladno vmešavanje, med EU in to državo ni sporazumov o varovanju podatkov; 3) nepregledna lastniška struktura podjetja dobavitelja oziroma ponudnika podpore, ki omogoča vmešavanje vlade tretje države; 4) tretja država ima sposobnost za izvajanje pritiska v zvezi s poslovnimi odločitvami dobavitelja; 5) nesposobnost dobavitelja, da zagotavlja dobavo tudi v zaostrenih ekonomskih razmerah; 6) nezadostna splošna kakovost proizvodov in praks dobavitelja na področju kibernetske varnosti (če je dobavitelj prestal presojo evropskih certifikacijskih organov, se lahko tudi pozneje izkaže, da proizvodi omogočajo "zlonamerne dejavnosti"); 7) dobavitelj ni transparenten glede obravnave podatkov.