Il 5G c’è, anche se in Italia e in Europa ci sono ancora barriere che ne rendono complessa l’implementazione. Il lato positivo è che c’è il tempo di adeguare le necessità delle politiche Zero Trust prima che la crescita del 5G diventi esponenziale.
Stando ai dati dell’Osservatorio 5G & Beyond della School of Management del Politecnico di Milano, nel 2024, sono stati investiti 14,5 milioni di euro nel 5G industriale. Cifre ancora contenute ma in crescita del 70% rispetto al 2023: la connettività è importante e le imprese ne stanno prendendo coscienza.
A livello europeo, sempre secondo i medesimi dati, sono stati censiti 198 progetti (la maggior parte in Germania) con una crescita del 21% rispetto all’anno precedente.
È tempo di interrogarsi sulle politiche più adatte per proteggere reti complesse. Le politiche Zero Trust diventano quindi di rigore.
Indice degli argomenti
Il 5G e la necessità di politiche Zero Trust
Le reti 5G private sono soprattutto votate alle Smart factory e, a goderne, sono in particolare la robotica e la manutenzione predittiva ma, essendo un cantiere aperto, il 5G favorisce la connettività degli endpoint in qualsiasi comparto o settore.
Ha un ruolo rilevante anche nella sanità: senza la bassa latenza del 5G sarebbero proibitivi gli interventi chirurgici a distanza e, parallelamente, sarebbero difficilmente gestibili i dispositivi IoT che favoriscono le diagnosi, le cure e le degenze. La missione 6 del Piano nazionale di ripresa e resilienza (PNRR) è incentrata sulle infrastrutture smart per la sanità digitale.
Quale che sia l’ambito nel quale il 5G viene impiegato, appare evidente che la sicurezza – sia questa fisica o digitale – ricopre un ruolo essenziale.
A rendere gli equilibri ancora più instabili interviene la necessità di integrare sulla stessa rete 5G anche endpoint esterni all’organizzazione: la cultura del dubbio – le politiche Zero Trust per l’appunto – non è un’opzione ma un imperativo.
L’accesso alle reti aziendali e il 5G
I flussi e i processi aziendali sono prima di ogni altra cosa degli esercizi di organizzazione. In un contesto normale – ossia quello di impresa come sistema aperto che dialoga con terze parti – sarebbe necessario creare delle procedure che definiscono degli standard minimi.
Così, un’organizzazione che invia o riceve dati da dispositivi terzi, dovrebbe stabilire con i propri partner quali standard questi dispositivi devono assolvere. La realtà è più complessa e queste intenzioni, per quanto buone, non sempre possono essere messe in atto.
Occorre quindi agire tenendo conto del fatto che i dispositivi dei partner aziendali potrebbero non rispondere agli standard interni.
Non è un caso che la Direttiva NIS2, pure non citando in modo esplicito i dispositivi IoT, impone alle organizzazioni di valutare e gestire i rischi associati ai dispositivi di terze parti. Ancora una volta, una politica Zero Trust, è una valida alleata.
I punti salienti del modello Zero Trust
Una politica Zero Trust accorta e ponderata deve offrire garanzie per la gestione del rischio e per la protezione delle organizzazioni. La sua implementazione deve tenere conto di quattro elementi:
- Autenticazione: ogni richiesta proveniente da dispositivi terzi deve essere autorizzata e verificata. Ciò permette di controllare che solo gli utenti autenticati possano accedere alla rete aziendale
- Accesso e segmentazione: l’accesso alla rete aziendale è da intendere a esclusività delle risorse autorizzate, impedendo che all’utente siano visibili altre porzioni di rete o altre risorse. Il vantaggio è la riduzione del rischio di movimento laterale nell’infrastruttura IT dell’organizzazione
- Privilegi essenziali: i dispositivi di terze parti che accedono alla rete lo fanno con i permessi minimi utili a svolgere i compiti cui sono adibiti
- Monitoraggio: il traffico di rete, lo stato dei dispositivi che accedono alla rete, la loro posizione geografica e i profili utente a questi associati devono essere monitorati in modo continuato.
Ridurre la superficie d’attacco, limitare eventuali danni a seguito della compromissione di credenziali di rete e attuare procedure di autenticazione stringenti sono elementi capitali per la sicurezza di un’infrastruttura.
Di cosa tenere conto quando si implementa una rete 5G, il punto di vista di Ericsson
Abbiamo chiesto a Luciano Cioccolanti, Customer Security Director di Ericsson Italia, di fornire elementi utili che le organizzazioni dovrebbero tenere in considerazione a monte dell’implementazione di una rete 5G, partendo dai fondamentali fino alle esigenze specifiche dei dispositivi connessi.
Quali sono le differenze sostanziali tra la cybersecurity di una rete non 5G e una rete 5G
“Il 5G standalone (5G SA) è molto più sicuro delle generazioni precedenti, per evoluzione tecnologica e di architettura e per la sua maggiore gestibilità.
Con il 5G SA si hanno a disposizione funzionalità come il Network Slicing, schemi di autenticazione e di encryption avanzata, strumenti per la protezione granulare delle interfacce e delle API e paradigmi architetturali quali Zero Trust; caratteristiche che ne fanno la tecnologia necessaria per supportare la digitalizzazione della nostra società e le applicazioni critiche, in ambiti quali la sanità, automazione industriale e smart city.
Per esempio, con il Network Slicing possiamo segregare la rete e i servizi offerti per offrire una maggiore protezione dagli attacchi, definire e implementare policy di sicurezza personalizzate, oltre che definire e implementare specifici modelli di business.
È fondamentale considerare che la sicurezza e disponibilità di reti, dati e servizi non può essere limitata solamente alle fasi di design o sviluppo di un prodotto o soluzione, gli aspetti di deployment in rete e di operation sono altrettanto importanti, se non di più.
Per questo motivo sul mercato nascono richieste di soluzioni automatizzate che permettano di gestire aspetti operativi di security e compliance, dalla verifica automatica delle configurazioni all’automazione per il rinnovo dei certificati digitali; questi aspetti, peraltro, sono in linea con i principi dello Zero Trust, che a partire dagli Usa si sta affermando anche in altri mercati”, spiega Luciano Cioccolanti.
Quali sono i vantaggi e i limiti delle soluzioni Zero Trust quando si parla di reti 5G con migliaia di endpoint connessi?
“L’architettura Zero Trust supera i limiti della protezione perimetrale classica a cui eravamo abituati, ed anzi assume che gli attaccanti siano già all’interno di una rete. Questo comporta che per garantire la sicurezza è necessario innalzare il livello, la qualità e la granularità delle misure implementate. Il motto è “never trust, always verify” [mai fidarsi, verificare sempre, nda]: l’obiettivo è quello di ridurre i rischi per gli utenti, le organizzazioni e la società analizzando il contesto in maniera esaustiva, comprendendo anche gli aspetti operativi. Gli organismi di standardizzazione come il 3GPP hanno già considerato funzionalità che supportano un approccio Zero Trust nel 5G, come l’autenticazione e l’autorizzazione dell’uso delle API e la comunicazione protetta tra le funzioni di rete utilizzando protocolli sicuri; ci aspettiamo ulteriori miglioramenti anche nel futuro 6G.
Le sfide nell’implementazione di soluzioni Zero Trust in reti 5G riguardano soprattutto gli aspetti legati alle operation. La molteplicità di dispositivi connessi richiede una gestione efficace delle identità, degli accessi e delle configurazioni, aumentando la complessità operativa; è fondamentale garantire che le soluzioni di sicurezza gestiscano efficacemente ed in maniera sicura sia le reti che l’elevato numero di endpoint, ad esempio con soluzioni di automazione; è importante definire un piano di azione e prioritizzare gli interventi, perché l’implementazione dello Zero Trust è un programma e le organizzazioni devono adattare questo percorso alla loro struttura, cultura e propensione al rischio”, continua l’esperto.
Un consiglio per le imprese che acquistano dispositivi IoT: quali standard di sicurezza devono garantire?
L’esperienza di Ericsson può essere utile. Come spiega Luciano Cioccolanti: “I casi d’uso e le necessità delle applicazioni IoT sono molto diversi, si va dal Massive IoT al Broadband Iot, dal Critical IoT all’Industrial Iot. La valutazione del rischio è la prima pratica da mettere in atto, perché la sicurezza è la gestione del rischio; a seconda del caso d’uso, avremo dall’analisi risultati e spunti differenti.
Sicuramente è importante che i vendor IoT garantiscano il ciclo di vita dei propri prodotti, come peraltro i recenti framework di sicurezza europei stanno richiedendo; allo stesso tempo, per le aziende e gli operatori è fondamentale avere una visione chiara del livello di sicurezza dei device connessi alla rete. In questo senso, Ericsson offre un servizio distintivo di Cybersecurity Testing & Certification, che fornisce al cliente la certificazione dei device secondo gli standard di settore, gli enti regolatori come GSMA e le normative locali. Questo è possibile perché siamo un Test Lab autorizzati della Cellular Telecommunications Industry Association (CTIA).
Dal punto di vista di Ericsson, il 5G SA, che ricordiamo essere più sicuro delle generazioni precedenti, offre misure di sicurezza modulari e scalabili (network slicing, network programmability ed edge computing) che permettono di abilitare servizi differenziati e di cogliere nuove opportunità di business. Tutto ciò che proponiamo, in quanto fornitori di tecnologie e soluzioni che permettono di realizzare le reti 5G di nuova generazione, integra by design considerazioni di sicurezza privacy. In ogni aspetto e fase della nostra proposta di prodotto e di valore, sono garantite dall’adozione di un framework di controllo – il Security Reliability Model, che con un approccio gestito e basato sul rischio ci permette di rispondere in modo adeguato a diverse esigenze, ambienti, tecnologie e richieste normative”.
