Ställ skarpare säkerhetskrav på 5G-tillverkarna istället för uteslutning

Långsiktig säkerhet i 5G-näten uppnås inte genom att utesluta tillverkare. Istället bör tydliga, internationella säkerhetskrav som kontrolleras av oberoende parter vara vägledande.

Ställ skarpare säkerhetskrav på 5G-tillverkarna istället för uteslutning 1
Torben Rune VD, Teleanalyse

Under flera år har diskussionerna om säkerheten i det kommande 5G-nätet böljat i telekomindustrin. Diskussionen är extremt viktig eftersom mobiltelefoni idag är ett villkor för att vårt samhälle ska fungera och kraven på tillverkarna måste därför vara skarpa, men är de skarpa nog? Post- och telestyrelsen har valt vägen att utesluta Huawei och ZTE från 5G-utbyggnaden i Sverige. Räcker det, är det en rimlig åtgärd? Svaret måste sökas på en helt annan plats än i 5G.

Idag är 5G-standarderna de överlägset mest omfattande telekomstandarderna någonsin. De är ett uttryck för miljontals timmars hårt ingenjörsarbete och innebär att all utrustning, allt från telefoner och bredbandsmodem till basstationer och centrala nätverk fungerar tillsammans, oavsett vilken tillverkare som har byggt dem. Eller vilket land tillverkaren kommer från.

5G-standarderna beskriver spelreglerna mellan 5G-utrustning, dvs. hur exempelvis en telefon måste tolka en radiosignal för att förstå mobiloperatörens antenn och hur mekanismerna för att flytta telefonen från en mast till en annan fungerar när telefonen rör sig runt om i landet eller i världen.

Vad 5G-standarderna däremot inte säger någonting om är hur tillverkarna utvecklar och programmerar sina produkter. Så länge dataströmmarna åtlyder de spelregler och protokoll som standarden definierar står det tillverkarna fritt att själva välja hur de ska utveckla produkterna.

Frihet skapar utmaningar

Friheten att få utveckla produkterna är viktig eftersom det är just det som särskiljer företagen konkurrensmässigt – övrigt är detsamma för alla och följer standarden.

Men när det inte finns några krav på hur produkterna utvecklas och programmeras uppstår snabbt flera frågor – frågor om robusthet i programvaran som ligger i systemen, modularitet, administration och uppdatering, kontroll och inte minst säkerhet för telekomföretagens och konsumenternas data.

Här uppstår en paradox i 5G-världens hittills mest omfattande standard ger inga instruktioner om hur man kan uppnå intern säkerhet. Sveriges önskan om ökad säkerhet i sina nätverk är givetvis bra. Men det är inte uteslutningen av enskilda tillverkare som exempelvis Huawei och ZTE som är lösningen.

Säkerhetsstandards finns – men inte i 5G

Bristen beror inte på att man har glömt säkerheten när det gäller 5G, eftersom det finns gott om inbyggd säkerhet. Det beror däremot på att standarden bara specificerar vad som händer mellan enheterna, inte vad som händer inuti dem.

Säkerheten som gäller hela systemet – dvs. även det som ligger utanför 5G-standarden – måste uppnås på ett annat sätt. Lyckligtvis har flera olika säkerhetsstandarder utvecklats både i 3GPP (forumet där 5G-standarderna skapas) och i GSMA (mobilföretagens “branschorganisation”). Tillsammans har man utvecklat NESAS (Network Equipment Security Assurance Scheme), som innehåller en mycket lång kravspecifikation för tillverkare. Det är dessa standarder för systemsäkerhet i 5G som borde ligga till grund för nätverken – problemet är helt enkelt att endast ett fåtal företag använder dessa standarder idag.

Alla ska igenom nålsögat

NESAS består av två delar, en undersökning av säkerheten hos den enskilda tillverkaren, och en undersökning av den enskilda produkten – och i båda delar består NESAS arbete av att undersöka processer, programvara och funktioner, men också att den enskilda leverantören faktiskt följer de processer som krävs. NESAS kan till och med kräva tillgång till enskilda utvecklings- och produktionsanläggningar, så att de kan kontrollera allt. När NESAS genomfört kontrollen offentliggörs resultaten, så att alla har tillgång till dem.

NESAS kontroller är idag en frivillig åtgärd som både mobilföretag och tillverkare kan välja bort, men så kommer det förhoppningsvis inte vara i framtiden. EU överväger om kraven på telekombolag och tillverkare ska skärpas, exempelvis genom att införa NESAS eller liknande kontroller som ett krav för att få driva en 5G-infrastruktur i EU.

Om, och i så fall när, NESAS kommer att göras obligatoriskt är okänt, och det kan inte vara den enda metoden. Det är dock avgörande att kontrollerna bör genomföras hos alla leverantörer av telekomtjänster och utrustning i EU, oavsett om det står Nokia, Motorola, ZTE eller Huawei på produkterna.

Den europeiska digitala infrastrukturen är för viktig för att enbart tilliten till tillverkaren eller adressen på huvudkontoret ska vara tillräckligt, standardisering är mycket bättre – och särskilt när standarderna faktiskt finns.