Eindelijk, de 5G risico analyse van de EU!

10/10/2019_Leuk om te weten dat de EU mijn blog volgt!!

Kort nadat ik gisteren mijn blog had voltooid waarin ik mij afvroeg hoe lang we nog op de 5G risico analyse van de EU zouden moeten wachten https://www.mijngroeve.nl/history/america-first-china-first-de-eu-wait-a-second/ komt Europa met het langverwachte rapport!

Wat is de conclusie van het rapport? Welnu, beneden staan een aantal cruciale passages (in het Engels!) die weinig aan de verbeelding overlaten.

Het rapport geeft in de inleiding nogmaals kort de 5G marktsituatie weer: “the market for 5G telecom equipment is mainly characterised by a handful of global companies capable of supplying large telecommunications operators with the technology required. From a market share perspective, the main suppliers are Huawei (PRC), Ericsson (Sweden) and Nokia (Finland). Other suppliers include ZTE (PRC), Samsung (South Korea) and Cisco (USA)”.

Het rapport

Wat volgt zijn de belangrijkste passages, ik heb opzettelijk een aantal zinnen vetgedrukt weergegeven.

“The deployment of 5G networks is taking place in a complex global cybersecurity threat landscape, notably characterised by an increase in supply-chain attacks. Overall, threats considered most relevant are the main traditional categories of threats: this concerns threats related to the compromise of confidentiality, availability and integrity. Threats posed by States or State-backed actors, are perceived to be of highest relevance. They represent indeed the most serious as well as the most likely threat actors, as they can have the motivation, intent and most importantly the capability to conduct persistent and sophisticated attacks on the security of 5G networks…..In relation to State and State-backed actors, a particular threat stems from cyber offensive initiatives of non-EU countries...It is also noted that insiders or subcontractors can in certain circumstances also be considered potential threat actors, especially if leveraged by States as they could be used as a channel for a State to gain access to critical target assets

5G networks can be associated with a range of generic technical vulnerabilities, which may affect software, hardware or arise from potential deficiencies in the security processes of any of the various stakeholders. Furthermore, in the early stage of deployment, vulnerabilities in the existing 3G and 4G infrastructure shall also be duly considered.

In particular, as 5G networks will be largely based on software, major security flaws, such as those deriving from poor software development processes within equipment suppliers, could make it easier for actors to maliciously insert intentional backdoors into products and make them also harder to detect. The risk profiles of individual suppliers can be assessed on the basis of several factors, notably:

The likelihood of the supplier being subject to interference from a non-EU country. This is one of the key aspects in the assessment of non-technical vulnerabilities related to 5G networks. Such interference may be facilitated by, but not limited to, the presence of the following factors: a) a strong link between the supplier and a government of a given third country b) the third country’s legislation, especially where there are no legislative or democratic checks and balances in place, or in the absence of security or data protection agreements between the EU and the given third country c) the characteristics of the supplier’s corporate ownership; the ability for the third country to exercise any form of pressure, including in relation to the place of manufacturing of the equipment.

A large degree of reliance on a single supplier (monoculture) creates a dependency on specific solutions and makes it more difficult to procure solutions from other suppliers, especially where solutions are not fully interoperable. As a result, EU-based operators who become overly dependent on a single equipment supplier are exposed to a number of risks caused by that supplier coming under sustained commercial pressure, whether due to commercial failure, being subject to a merger or acquisition, or being placed under sanctions.

The technological changes introduced by 5G will increase the overall attack surface and the number of potential entry points for attackers:

  • Enhanced functionality at the edge of the network and a less centralised architecture than in previous generations of mobile networks means that some functions of the core networks may be integrated in other parts of the networks making the corresponding equipment more sensitive

If some of the new use cases envisioned for 5G come to fruition, 5G networks will end up being an important part of the supply chain of many critical IT applications, and as such not only confidentiality and privacy requirements will be impacted, but also the integrity and availability of those networks will become major national security concerns and a major security challenge from an EU perspective.

Together, these challenges create a new security paradigm, making it necessary to reassess the current policy and security framework applicable to the sector and its ecosystem and essential for Member States to take the necessary mitigating measures.

This requires identifying potential gaps in existing frameworks and enforcement mechanisms, ranging from the implementation of cybersecurity legislation, the supervisory role of public authorities, and the respective obligations and liability of operators and suppliers”

De conclusie

Zonder China of Huawei bij naam te noemen plaveit het document de weg voor Europese regelgeving die een te grote afhankelijkheid van één telecom apparatuur leverancier, in het bijzonder als die afkomstig is uit een land met een zwak democratische bestel, lees Huawei/China, moet voorkomen.

S’werelds gevaarlijkste hackers zijn staten of staatsgefinancierd. Wie zijn ondermeer notoire hackers? China and Rusland. Het EU rapport laat er geen misverstand over bestaan dat niet-democratische landen de EU van binnenuit kunnen aanvallen en bespioneren. Het EU document neigt richting de positie van de USA t.o.v. Huawei, maar eist niet een volledig ban van het Chinese bedrijf in de 5G uitrol.

Waarom wil de EU Huawei niet bij voorbaat uitsluiten? Ten eerste wil Europa graag zijn onafhankelijkheid laten zien tegenover Amerika m.b.t. het analyseren van de risiko’s van de 5G uitrol, wellicht als vergelding voor het NSA afluisterschandaal dat de Europa een aantal jaren geleden in de ban hield? Ten tweede, de EU doet graag zijn uiterste best om China niet publiekelijk aan de schandpaal te nagelen, ook indachtig de grote wederzijdse handelsbelangen. Ten derde, zoals al eerder geschreven, Huawei is al sterk aanwezig in de 3G en 4G infrastructuur van verscheidene Europese landen. Het 5G netwerk zal gebruik maken van een gedeelte van die bestaande 3 & 4G infrastructuur. In sommige gevallen is het waarschijnlijk goedkoper om aanvullende veiligheidsmaatregelen te treffen dan bestaande apparatuur volledig te vervangen. Vervanging zou ook kunnen leiden tot (verdere) vertraging van de 5G uitrol. Huawei zal dus wellicht nog een rol kunnen spelen in Europa’s 5G toekomst, al zal die een stuk kleiner zijn dan verwacht en gehoopt door het Chinese bedrijf.

Huawei’s wankele toekomst in Europa

De zaken zouden zelfs nog slechter kunnen aflopen voor Huawei. De EU commissie zal rond het einde van dit jaar een handleiding van (technische) maatregelen uitbrengen die de lidstaten kunnen gebruiken om de risiko’s te verminderen en de veiligheid van hun netwerk te vergroten. De lidstaten kunnen weliswaar niet gedwongen worden om die maatregelen te implementeren, maar door een publieke discussie aan te zwengelen verwacht de EU dat de burger nalatige overheden ter verantwoording zal roepen.

Het rapport kan bovendien door uitgesproken tegenstanders van China binnen en buiten Europa (Trump!) worden aangegrepen om Europa toch te bewegen tot een volledige ban van Huawei. Verdere escalaties in de Amerikaanse – Chinese “handelsoorlog”, in Hongkong of in de Zuid-Chinese Zee etc, zouden ook tegen Huawei kunnen gaan werken in het huidige politieke klimaat.

De afgelopen 10 maanden heb ik verschillende blog posts geschreven over lokale Nederlandse initiatieven met Huaiwei, in het bijzonder in de regio Amsterdam.

https://www.mijngroeve.nl/nl/geschiedenis/huawei-het-kamerdebat-4-juli-2019/

https://www.mijngroeve.nl/history/nederland-huawei-wachten-op-rutte/

https://www.mijngroeve.nl/nl/sport/ajax-huawei-wat-nu/

Het debat over China en Huawei zal n.a.v. dit rapport vermoedelijk verder oplaaien in deTweede Kamer en in de maatschappij. Alle huidige plannen met Huawei zullen opnieuw onder de loep worden genomen, worden gewogen en waarschijnlijk aangepast, waarbij de rol van Huawei verder zal kunnen worden beperkt of zelfs uitgesloten. Ik ben benieuwd wat Amsterdam, Ajax en de Johan Cruijff Arena gaan doen!