Έτσι θα είναι ασφαλή τα δίκτυα 5G

Το πλαίσιο μέτρων ψηφιακής ασφάλειας δικτύων και συστημάτων πληροφοριών όσον αφορά τα δίκτυα πέμπτης γενιάς (5G) στην Κύπρο εξέδωσε μέσω απόφασής της η Αρχή Ψηφιακής Ασφάλειας, λαμβάνοντας υπόψη, μεταξύ άλλων, ευρωπαϊκές οδηγίες και πρόνοιες του νόμου περί ασφάλειας δικτύων και συστημάτων πληροφοριών.

Η απόφαση της Αρχής δημοσιεύθηκε στην Επίσημη Εφημερίδα της Δημοκρατίας.

Καμπάνα έως €200.000
Η εν λόγω απόφαση της κρατικής ανεξάρτητης αρχής, η οποία είναι υπεύθυνη για τη βελτίωση και διατήρηση υψηλών επιπέδων κυβερνοασφάλειας, καθορίζει τις υποχρεώσεις των παρόχων ηλεκτρονικών επικοινωνιών (εταιρείες τηλεπικοινωνιών) όσον αφορά τα μέτρα ασφάλειας επί του δικτύου κινητών επικοινωνιών πέμπτης γενιάς, γνωστού ως δικτύου 5G.

Σημειώνεται ότι η Αρχή δύναται, μεταξύ άλλων, να επιβάλλει περιορισμούς συμπεριλαμβανομένων πιθανών αποκλεισμών ή ενισχυμένες διατάξεις ασφαλείας, καθώς και να διεξάγει ελέγχους και διαβουλεύσεις με τους παροχείς όσον αφορά στην υιοθέτηση και εφαρμογή των μέτρων ασφαλείας.

Την ίδια στιγμή, σε περίπτωση που η Αρχή διαπιστώσει ότι παροχέας ή άλλο πρόσωπο διενεργεί πράξη ή τελεί σε παράλειψη κατά παράβαση των διατάξεων της συγκεκριμένης απόφασης, δύναται να επιβάλει διοικητικό πρόστιμο έως €200.000.

Αυστηροί έλεγχοι πρόσβασης
Οι παροχείς ηλεκτρονικών επικοινωνιών οφείλουν να εφαρμόζουν διάφορα αυστηρά τεχνικά μέτρα ασφάλειας σχετικά με τον περιορισμό πρόσβασης στα δίκτυα 5G. 

Τα τεχνικά μέτρα οφείλουν να διασφαλίζουν κατ' ελάχιστον την εφαρμογή της αρχής του ελάχιστου προνομίου, μέσω της οποίας εξασφαλίζεται ότι ελαχιστοποιούνται διάφορα δικαιώματα στο δίκτυο, περιλαμβανομένων δικαιωμάτων πρόσβασης μεταξύ των λειτουργιών του δικτύου, δικαιωμάτων των διαχειριστών δικτύου και της ρύθμισης παραμέτρων εικονικοποίησης, καθώς και την εφαρμογή διαχωρισμού των καθηκόντων.

Ταυτόχρονα, θα πρέπει να μεριμνούν για την εφαρμογή διαδικασιών που διασφαλίζουν ότι τα εν λόγω μέτρα ελέγχου πρόσβασης εφαρμόζονται συνεχώς και εξελίσσονται παράλληλα με την ανάπτυξη του δικτύου, όπως επίσης και τον έλεγχο προσβάσεων και προνομίων για όλους τους χρήστες και ρόλους σε όλες τις εφαρμογές και τόπους του εσωτερικού δικτύου των παροχέων ανά τακτά χρονικά διαστήματα τουλάχιστον μία φορά τον χρόνο, προκειμένου να διασφαλιστεί η εγκεκριμένη πρόσβαση σε εφαρμογές, συστήματα και πληροφορίες.

Οι τρίτοι και οι υψηλού κινδύνου προμηθευτές
Την ίδια στιγμή, οι παροχείς ηλεκτρονικών επικοινωνιών θα πρέπει να καθορίσουν τα μέτρα ελέγχου πρόσβασης διασφαλίζοντας την ελαχιστοποίηση ή/και την αποφυγή, όποτε είναι δυνατόν, της απομακρυσμένης πρόσβασης τρίτων, περιλαμβανομένων προμηθευτών και ιδίως προμηθευτών υψηλού κινδύνου.

Για παράδειγμα, όταν η απομακρυσμένη πρόσβαση είναι αναγκαία για την αντιμετώπιση διακοπών υπηρεσίας, ο παροχέας θα πρέπει να εφαρμόζει κατάλληλες διαδικασίες επαλήθευσης ταυτότητας, εξουσιοδότησης, καταγραφής και ελέγχου ώστε να έχει σαφή εικόνα όσον αφορά την πρόσβαση στα δεδομένα και τις αλλαγές ρύθμισης παραμέτρων ή τροποποιήσεις του δικτύου.

Πρόσβαση από εξειδικευμένο προσωτπικό
Αξίζει να αναφερθεί ότι η πρόσβαση των παροχέων (εταιρειών) στα δίκτυα 5G θα πρέπει να περιορίζεται σε εξειδικευμένο προσωπικό που έχει υποβληθεί σε έλεγχο ασφαλείας, σύμφωνα με τις διατάξεις της απόφασης μέτρων ασφάλειας του 2020 σχετικά με την ασφάλεια ανθρώπινων πόρων.

Τονίζεται ακόμα ότι τα τεχνικά μέτρα ασφάλειας εφαρμόζονται σε όλες τις προσβάσεις, συμπεριλαμβανομένης της προνομιακής πρόσβασης και θα πρέπει να καλύπτουν όλα τα συστήματα εντός του παροχέα συμπεριλαμβανομένων των λειτουργιών δικτύου και ρύθμιση παραμέτρων εικονικοποίησης (virtualisation configuration).

Εντοπισμός ανωμαλιών, πρόληψη απειλών
Όσον αφορά τα θέματα διασφάλισης της ασφάλειας διαχείρισης λειτουργίας και παρακολούθησης δικτύου 5G, οι παροχείς ηλεκτρονικών επικοινωνιών οφείλουν να συμμορφώνονται με τις απαιτήσεις για λειτουργία του Κέντρου Λειτουργίας Δικτύου (NOC) και του Κέντρου Επιχειρήσεων Ασφαλείας (SOC) στις εγκαταστάσεις του παροχέα ή συνδεδεμένης εταιρείας υπό τον έλεγχο του παροχέων ή συγκροτήματος εταιρειών, στην οποία εντάσσεται ο παροχέας και εντός της Δημοκρατίας ή της ΕΕ, την αποτελεσματική παρακολούθηση όλων των κρίσιμων στοιχείων του δικτύου και ευαίσθητων τμημάτων των δικτύων 5G από την NOC/SOC για εντοπισμό ανωμαλιών και τον εντοπισμό και την πρόληψη απειλών.

Καλούνται επίσης να πραγματοποιούν δοκιμές και ελέγχους ασφαλείας στα κέντρα επιχειρήσεων ασφαλείας προκειμένου να διασφαλίζουν την απαραίτητη κάλυψη παρακολούθησης των πόρων, αλλά και την καταγραφή της εκάστοτε δυνατότητας στον εντοπισμό απειλών, να μεριμνούν για την προστασία της διαχείρισης δικτύων ή υπηρεσιών επικοινωνιών με σκοπό την αποτροπή μη εξουσιοδοτημένων αλλαγών σε στοιχεία δικτύου ή υπηρεσιών, αλλά και τη φυσική προστασία των κρίσιμων στοιχείων του δικτύου και ευαίσθητων τμημάτων των δικτύων 5G με προσέγγιση βασιζόμενη στον κίνδυνο για σταθμούς βάσης και άλλα σημεία πρόσβασης στο δίκτυο, περιλαμβανομένων σημείων πολλαπλής προσπέλασης (multi-access edge computing).

Up to date και στο cloud
Οι εταιρείες θα πρέπει επίσης να χρησιμοποιούν κατάλληλα εργαλεία και διαδικασίες για διασφάλιση της ακεραιότητας ενημερώσεων λογισμικού και για την αξιόπιστη αναγνώριση, ιχνηλασιμότητα και διαχείριση αλλαγών και κατάσταση ενημέρωσης κώδικα και εφαρμογή επιδιορθώσεων ασφαλείας, να εφαρμόζουν βέλτιστες πρακτικές ασφαλείας για την εικονικοποίηση δικτυακών λειτουργιών, όπως επίσης να εφαρμόζουν μέτρα πρακτικές ασφάλειας που περιλαμβάνονται στις ισχύουσες νομοθεσίες για δίκτυα νεφοϋπολογιστικής (cloud) και συστήματα/δίκτυα εικονικοποίησης.

Την ίδια ώρα, οι παροχείς ηλεκτρονικών επικοινωνιών οφείλουν να προβαίνουν σε ελέγχους και αναθεωρήσεις σχετικά με τις ρυθμίσεις παραμέτρων των συστημάτων υποδομών νεφοϋπολογιστικής ανά τακτικά χρονικά διαστήματα, δηλαδή τουλάχιστον μία φορά το τρίμηνο, όπως επίσης μετά από κάθε σημαντική αλλαγή που ενδέχεται να επηρεάσει την αρχιτεκτονική συστημάτων, δικτύων ή δεδομένων.

Σημειώνεται ότι η Αρχή Ασφαλείας έχει το δικαίωμα, με αιτιολογημένη απόφασή της, να επιβάλλει περιορισμούς συμπεριλαμβανομένων πιθανών αποκλεισμών ή ενισχυμένες διατάξεις ασφαλείας, καθώς και να διεξάγει ελέγχους και διαβουλεύσεις με παροχείς ηλεκτρονικών επικοινωνιών όσον αφορά στην υιοθέτηση και εφαρμογή των μέτρων ασφαλείας.

Online οι πληροφορίες και τα έγγραφα στην Αρχή
Με βάση την απόφαση και με στόχο να εξασφαλιστεί η ακεραιότητα και επιχειρησιακή συνέχεια, οι εταιρείες ηλεκτρονικών επικοινωνιών θα πρέπει να κοινοποιούν στην Αρχή Ψηφιακής Ασφάλειας τα βασικά μέτρα εξασφάλισης λειτουργίας του δικτύου και την πολιτική επιχειρησιακής συνέχειας και έκτακτων συνθηκών λαμβάνοντας υπόψη τις κατευθυντήριες γραμμές της Αρχής, να παρέχουν εγγράφως τεκμηρίωση και να διαβιβάζουν πληροφορίες και έγγραφα στην Αρχή σε ηλεκτρονική μορφή σχετικά με τα μέτρα ασφαλείας που έχουν ληφθεί, καθώς και να τηρούν αρχείο επικοινωνιών με την Αρχή.

Εξάλλου, μεταξύ άλλων, οι εταιρείες οφείλουν να ελέγχουν και να αναθεωρούν το πεδίο ορισμού των πλάνων επιχειρησιακής συνέχειας προκειμένου να διασφαλίσουν ότι όλοι οι απαραίτητοι πόροι και ειδικότερα όσοι πόροι σχετίζονται με τα δίκτυα 5G περιλαμβάνονται όπως επίσης και τα ανάλογα μέτρα για καθένα από τους όρους.

Ο προμηθευτής «μονοπώλιο»
Προκειμένου να διασφαλιστεί ένα κατάλληλο επίπεδο ασφάλειας εφοδιασμού, οι παροχείς οφείλουν, ανάμεσα σε άλλα, να σχεδιάσουν, να υιοθετήσουν και να τεκμηριώσουν βασικά και ειδικά μέτρα ασφάλειας εφοδιασμού και πολιτική προμήθειας εξοπλισμού και συμμετοχής προμηθευτών.

Ταυτόχρονα, υποχρεούνται να σχεδιάσουν και να υιοθετήσουν μία πολιτική ανάθεσης και χρήσης παροχέων διαχειριζόμενων υπηρεσιών και υποστήριξης τρίτης γραμμής, με την οποία να καθορίζονται όρια όσον αφορά τα είδη δραστηριότητας και προϋποθέσεις βάσει των οποίων οι παροχείς ηλεκτρονικών επικοινωνιών μπορούν να αναθέτουν εξωτερικά συγκεκριμένες λειτουργίες σε παροχείς διαχειριζόμενων υπηρεσιών, τόσο για τη φυσική όσο και για την εικονική υποδομή των δικτύων κινητών επικοινωνιών.

Καλούνται ακόμα να σχεδιάσουν, υιοθετήσουν και να τεκμηριώσουν στρατηγική πολλαπλών προμηθευτών για την αποφυγή ή τον περιορισμό οποιασδήποτε σημαντικής εξάρτησης από έναν μοναδικό προμηθευτή ή από προμηθευτές με υψηλό προφίλ κινδύνου.

Διευκρινίζεται επίσης ότι η Αρχή Ψηφιακής Ασφάλειας έχει το δικαίωμα να εγκρίνει, τροποποιήσει ή απορρίψει εισηγήσεις των παροχέων ή και να επιβάλει επιπρόσθετους περιορισμούς, συμπεριλαμβανομένων των αποκλεισμών ή ενισχυμένες διατάξεις ασφαλείας, ώστε να μετριάζεται η ύπαρξη κινδύνου στην προμήθεια εξοπλισμού και συμμετοχή προμηθευτών υψηλού κινδύνου σε βασικά στοιχεία του δικτύου 5G, στην ανάθεση συγκεκριμένων λειτουργιών σε ευαίσθητα τμήματα των δικτύων 5G σε περιοχές διαχειριζόμενων υπηρεσιών και για την αποφυγή ή περιορισμό οποιασδήποτε σημαντικής εξάρτησης από έναν μοναδικό προμηθευτή.

Δειτε Επισης

Ο όρος «ψηφιακή πολιτότητα» και η «Σύνοδος για την Συμμετοχική Ψηφιακή Πολιτότητα»
PLATX: Μνημόνιο συνεργασίας με e& Egypt-Πού θα εστιάσει και τι υπογραμμίζει η συγκεκριμένη κίνηση
Το IN Business TV στο μεγάλο τεχνολογικό γεγονός Huawei Connect 2024 στο Παρίσι (video & pics)
AWS: Οι δυνατότητες του cloud, η παραγωγική τεχνητή νοημοσύνη και η επένδυση μεγατόνων στις ΑΠΕ
Human Centric: Αξιοποίηση εργαλείων τεχνητής νοημοσύνης σε καινοτόμα προγράμματα κατάρτισης
Πώς ο ψηφιακός μετασχηματισμός λειτουργεί προς όφελος της επιχείρησής σας
Στις εγκαταστάσεις της Dynamic Works ο Επικεφαλής Επιστήμονας
Primetel Business Networking Event: Ο έμπιστος συνεργάτης της σύγχρονης κυπριακής επιχείρησης (video)
Στο διεθνές συνέδριο για θέματα τεχνολογίας «Tallinn Digital Summit» ο Ν. Δαμιανού-Σειρά επαφών στην Εσθονία
Παρουσίασε σε «Διπλωματικό Σαλόνι» στο Ισραήλ το οικοσύστημα έρευνας και καινοτομίας της Κύπρου ο Σκουρίδης