Il dispiegamento della quinta generazione delle tecnologie di rete (5G) presenta anche diverse criticità sul fronte della cyber security, soprattutto nell’ambito della protezione dati.
Come in ogni nuova trasformazione digitale, gli Stati membri e le Autorità europee e nazionali stanno pertanto identificando le misure più adeguate per affrontare questi rischi inerenti alla tecnologia 5G e alle sue molteplici applicazioni.
Ma a che maturità è arrivato il lavoro europeo di identificazione dei rischi per la sicurezza in ambito 5G? Facciamo il punto.
L’approccio strategico dell’Europa
Per disporre, su tutto il territorio dell’UE delle infrastrutture di connettività necessarie per la sua trasformazione digitale dal 2020, la Commissione Europea ha adottato già da tempo un piano d’azione per il 5G
Sin dal 2016 la Commissione Europea evidenziava in una delle sue Comunicazioni (COM [2016] 588), la necessità di adottare un approccio coordinato dell’UE e una pianificazione a livello transfrontaliero, con l’obiettivo di garantire che ogni Stato membro fosse in grado di designare almeno una città principale come “abilitata al 5G” entro la fine del 2020 e che tutte le aree urbane e i principali assi di trasporto terrestre disponessero di copertura 5G ininterrotta entro il 2025.
Una volta lanciate in modo permanente e non più sperimentale, le reti 5G costituiranno la struttura portante di una vasta gamma di servizi essenziali per il funzionamento del mercato interno e per il mantenimento e la gestione di funzioni economiche e sociali vitali, quali l’energia, i trasporti, i servizi bancari e sanitari e i sistemi di controllo industriale. Ma non solo. Anche l’organizzazione dei processi democratici, quali ad esempio le elezioni, si potrà basare sempre di più sulle infrastrutture digitali e sulle reti 5G.
Poiché molti servizi essenziali dipenderanno dalle reti 5G, le conseguenze di malfunzionamenti o attacchi sarebbero particolarmente gravi. Pertanto l’approccio coordinato dell’UE non si limita alla pianificazione transfrontaliera dell’adozione del 5G ma anche include la garanzia di elevanti standard di cyber sicurezza delle reti 5G, che tutti gli Stati membri dovranno assicurare in modo uniforme.
Attuali sperimentazioni 5G
Molte città stanno accogliendo la sfida della sperimentazione del 5G, tra quelle italiane Milano fa senz’altro da capofila, e mettendo in moto progetti e nuove partnership in diversi ambiti della vita quotidiana.
Vediamone alcuni.
Per quanto riguarda la mobilità, grazie alle caratteristiche della rete 5G si potranno garantire maggiore fluidità e sincronismo nello scambio video in tempo reale tra i veicoli. Questo consentirà una estensione del raggio visivo del guidatore in casi di visibilità parziale o oscurata e grazie allo scambio dati in tempo reale di prevenire incidenti, in particolare durante le fasi di sorpasso.
In ambito sanitario, i futuri sistemi di telechirurgia robotica, che consentiranno a un chirurgo di operare da remoto il paziente assistito dalla sua equipe in sala, non potranno prescindere dal 5G che è in grado di garantire bassa latenza per il controllo del laser e delle pinze robotiche, una banda larga per la trasmissione delle immagini ad altissima risoluzione e una elevata affidabilità per la trasmissione dei dati connessi all’operazione.
Altro esempio di scenario applicativo riguarda la sfera della sicurezza pubblica e gestione delle emergenze e calamità. In tale ambito si potrà trarre beneficio dal 5G grazie al potenziamento dell’uso, già prolifico, dei droni. Come noto i droni rappresenteranno un nuovo strumento che faciliterà anche attività di controllo del territorio di aree inaccessibili all’uomo, come in caso di necessità di primo soccorso in situazioni di elevato pericolo o per monitorare zone colpite da calamità naturali o eventi disastrosi. La tecnologia 5G consentirà di trasmettere flussi video ad altissima risoluzione utili all’analisi delle situazioni di interesse, permettendo di pilotare i droni da remoto in modalità Beyond Visual Line Of Sight (BVLOS), al di là quindi della linea visiva umana per operare in sicurezza in contesti di pericolo.
Ma anche sul fronte dell’intrattenimento, si potrà beneficiare delle potenzialità del 5G. In particolare, si pensi alla realtà virtuale grazie alla quale possibile partecipare a spettacoli ed eventi dal vivo ma sfruttando visori di VR, telecamere a 360 gradi, video in Ultra HD ed Edge Computing che basandosi sulla rete 5G, potranno integrarsi tra loro per consegnare allo spettatore un’esperienza di visione personalizzata.
I rischi per la protezione e sicurezza dei dati
Se pensiamo anche solo a questi pochi esempi, si percepisce immediatamente come eventuali vulnerabilità e/o incidenti di cibersicurezza riguardanti le reti 5G avrebbero degli effetti rilevanti le cui ripercussioni a cascata, in alcuni casi, potrebbero incidere non solo all’interno di una città o di uno Stato ma sull’Unione Europea nel suo complesso.
Per questo motivo l’Europa ha sollecitato gli Stati membri a prevedere misure che siano adeguate ma anche uniformi, in modo da garantire un elevato livello comune di cyber security delle reti 5G.
Nel garantire la sicurezza delle reti 5G è fondamentale tenere in considerazione non solo potenziali vulnerabilità e minacce dell’infrastruttura ma anche i potenziali rischi a livello di protezione dei dati personali degli individui e della loro vita privata.
Sarà infatti necessario garantire in tutti gli scenari basati sul 5G, la sicurezza del trattamento dei dati personali, anche nelle comunicazioni elettroniche. In particolare, alla luce del GDPR tutti i trattamenti e flussi di dati personali degli utenti finali delle tecnologie 5G, dovranno essere operati in modo da garantirne la massima sicurezza, anche al fine di prevenire l’accesso non autorizzato sia ai dati personali che ai dispositivi connessi o l’utilizzo non autorizzato degli stessi.
L’Agenzia dell’Unione europea per la cibersicurezza (ENISA), a fine 2019, aveva già realizzato una mappatura del panorama delle minacce per le reti 5G, nell’ottica di identificare le migliori pratiche che a livello nazionale dovrebbero essere adottate.
Ma è solo lo scorso gennaio 2020 che il Gruppo di Cooperazione NIS ha messo a disposizione di tutti gli Stati un pacchetto di strumenti dell’UE comprendente misure di attenuazione dei rischi del 5G ad oggi identificati.
Per gli Stati membri il 2020 sarà, pertanto, un anno importante per iniziare ad utilizzare appieno il pacchetto di strumenti di sicurezza del 5G elaborato a livello Europeo.
Sarà in ogni caso ogni Stato a decidere, in base alle circostanze nazionali e alle caratteristiche delle sperimentazioni in corso, se una particolare misura identificata nel pacchetto è adeguata o se è necessario valutare, come anche raccomandato dal gruppo di cooperazione NIS, ulteriori misure chiave a livello locale per affrontare i rischi individuati.
La Relazione di valutazione dei rischi coordinata a livello dell’UE , evidenzia una serie di aspetti di particolare importanza.
In primo luogo, i cambiamenti tecnologici introdotti dal 5G offriranno agli hacker una più ampia superficie complessiva di attacco e un numero maggiore di potenziali punti di ingresso. Inoltre le nuove caratteristiche tecnologiche legate al 5G attribuiranno maggiore importanza alla dipendenza degli operatori di rete mobile dai fornitori terzi e al loro ruolo nella catena di approvvigionamento e, dunque il profilo di rischio individuale dei fornitori diventerà particolarmente importante.
In secondo luogo, se alcune delle sperimentazioni previste in ambito 5G si concretizzeranno, le reti 5G finiranno per essere una parte importante della catena di approvvigionamento di molte applicazioni informatiche critiche e, in quanto tali, oltre alla adozione di misure di protezione dei dati personali, gli Stati dovranno orientarsi anche alla adozione di misure che assicurino l’integrità e la disponibilità di tali reti per questioni di sicurezza nazionale.
Premesse queste considerazioni, tra le principali categorie di rischi su cui porre l’attenzione dovrebbero considerarsi in via preliminare:
– il rischio di una configurazione errata delle reti o la mancanza di adeguati controlli degli accessi;
– rischi relativi alla catena di approvvigionamento del 5G che potrebbero concretizzarsi, ad esempio, in una scarsa qualità dei prodotti hardware o software, erogati da singoli fornitori verso cui si abbia una dipendenza in termini di approvvigionamento;
– sfruttamento di potenziali vulnerabilità di dispositivi degli utenti finali (si pensi ai molteplici scenario di Internet of Things) o delle reti 5G da parte di singoli criminali informatici al fine di colpire gli utenti finali o da parte della criminalità organizzata o terroristica al fine di colpire uno Stato nel suo complesso in caso di interdipendenze tra le reti 5G e altri sistemi o infrastrutture critiche.
La recente opinion dell’Autorità Garante per la protezione dei dati Spagnola
A maggio 2020 l’Autorità Garante per la protezione dei dati spagnola (AEPD) ha emesso un proprio importante orientamento sulle tecnologie 5G in termini di rischi privacy.
Il documento emesso dall’Autorità ha l’importante obiettivo di offrire un quadro delle innovazioni presentate dalla tecnologia 5G e di eseguire una prima analisi dei rischi per la privacy inerenti a questa tecnologia. Il documento di orientamento, è indirizzato a produttori e fornitori, a operatori di servizi, società di telecomunicazioni e sviluppatori di applicazioni che realizzeranno i business model 5G al fine di evidenziare le implicazioni per la privacy dei prodotti e servizi oggetto di disegno e sviluppo.
Questo documento è dunque molto importante in evidenzia l’urgenza di applicare un approccio di Privacy By Design e by default (art. 25 GDPR), garantendo quindi una protezione dei dati fin dalla fase di progettazione e per impostazione predefinita, già nell’ambito di tutte le sperimentazioni 5G in corso.
Va premesso come l’Autorità stessa abbia chiarito che la maggior parte dei rischi per la protezione dei dati personali connessi al 5G non sono nuovi, ma erano emersi anche in riferimento alle precedenti generazioni di telefonia mobile. Tuttavia, l’Autorità pone l’accento sul fatto che potrebbe verificarsi un aumento esponenziale di tali rischi se l’implementazione del 5G dovesse, come auspicabile, raggiungere le aspettative di successo di implementazione previste.
Le misure di mitigazione dei rischi per i diritti e le libertà degli interessati dovrebbero essere attentamente valutate, in particolare con riferimento ai seguenti aspetti:
• Geolocalizzazione dell’utente: il 5G renderà molto più precisa la posizione geografica dell’utente basata sulla rete.
• Profilazione e decisioni automatizzate: l’aumento della quantità e delle categorie di dati che circoleranno attraverso la rete moltiplicheranno la quantità di dispositivi che ciascun utente potrà collegare tramite 5G (si pensi allo scenario IoT), consentendo una sempre più puntuale profilazione delle persone e l’erogazione di servizi in tempo reale basati su IA che potranno implicare processi decisionali automatizzati sulle persone mediante la elaborazione di dati personali (cnfr. Art. 22 del GDPR).
• Aumento esponenziale degli scenari di minaccia: le minacce per la protezione dei dati personali da attacchi informatici di natura volontaria sono maggiori, in quanto è aumentata significativamente la superfice di attacco data da una maggiore connettività, interoperabilità, numero di punti di ingresso e dei punti di gestione della rete e dei dati.
• Potenziale perdita di controllo da parte dell’interessato: in base al modello di elaborazione dei dati delle tecnologie 5G, i dati si sposteranno in tempo reale nei punti in cui sono maggiormente necessari o dove la loro elaborazione è più efficiente e ciò potrebbe comportare una degradazione del livello di controllo e di possibilità di esercizio dei diritti da parte deli interessati.
