Sikkerheten i 5G-nettet

En forståelse av informasjonsikkerheten i 5G-nettet vil bidra til å forstå personvernkonsekvenser ved bruk av 5G i neste kapittel.

• På 3GPP (The 3rd Generation Partnership Project) sine nettsider finnes det en detaljert gjennomgang av sikkerhetsarkitekturen til 5G (3GPP.org, engelsk). Se særlig spesifikasjon #33.501.
• For en helhetlig gjennomgang av sikkerheten i 5G-nettet, kan vi anbefale ENISA (European Union Agency for Cybersecurity) sin omfattende rapport om trusselbildet for 5G-nettene (enisa.europa.eu, engelsk).

Frittstående 5G-nett kontra ikke-frittstående 5G-nett

5G er i utgangspunktet lagt opp til å være teknisk sikrere enn 4G. Slik har det vært med alle nye generasjoner av mobilnettet. Vi må imidlertid skille mellom ikke-frittstående 5G (non-standalone) og frittstående 5G (standalone).

Ikke-frittstående, som er den implementasjonen av 5G som benyttes i dag, er i praksis et 4G kjernenett med 5G radionett. Det betyr at vi bruker 5G basestasjoner og antenner, mens resten av infrastrukturen er basert på 4G. Denne varianten av 5G-nettet arver sikkerhetsfunksjonaliteten som 4G har, og det blir ikke «5G-sikkerhet» før 5G-kjernenettet også er på plass. Dette vil ta mange år, men det er verdt å påpeke at 4G-kjernenettet foreløpig regnes som sikkert.

Støtte for sterkere kryptering

5G SA vil støtte sterkere krypteringsnøkler enn vi benytter i dag. 3GPP har publisert en studie hvor de har undersøkt behovet for sterkere kryptering i mobilnettet, i lys av den økende trusselen kvantedatamaskiner utgjør (portal.3gpp.org, engelsk). De konkluderer med at krypteringen vi benytter i dag fortsatt er sikker nok, men at det kan være nødvendig å ta i bruk sterkere kryptering for å beskytte 5G-nettet i fremtiden.

Støtte for sterkere kryptering synes uansett å være en fornuftig fremtidssikring, rett og slett fordi det ofte bare er et spørsmål om tid før enhver algoritme knekkes. Både grunnet stadig bedre tilgang på prosesseringskraft, funn av nye sårbarheter og som konsekvens av den generelle teknologiutviklingen.

Sikrere autentisering

Den permanente identiteten til mobilutstyr i 4G-nettet kalles IMSI (International Mobile Subscriber Identity). Denne identifikatoren sendes over mobilnettet i klartekst (altså ukryptert) når mobilutstyret skal koble seg til mobilnettet. I 5G-nettet innføres SUPI (Subscription Permanent Identifier) som paraplybegrep for tilsvarende identitet. SUPI skal imidlertid aldri sendes over mobilnettet i klartekst. For å autentisere mobilutstyret i 5G-nettet sendes i stedet en kryptert identifikator, SUCI (Subscription Concealed Identifier). Overgangen til SUCI er ment å fjerne sårbarheten med falske basestasjoner (se for eksempel Aftenpostens avsløringer fra 2014: "Stortinget og statsministeren overvåkes" og "Spionutstyr plassert i Norges fremste finansmiljø").

Det implementeres også endringer for håndtering av den midlertidige identiteten til brukeren (GUTI, Globally Unique Temporary Identifier) i 5G-nettet. Den nye implementasjonen skal sørge for at brukerens midlertidige identitet endres hyppig og uforutsigbart, slik at det blir mye vanskeligere å spore mobilutstyr på tvers av basestasjoner. Så lenge det benyttes 5G NSA, avhenger imidlertid sikker håndtering av GUTI av mobiloperatørenes implementasjon. Sintef avdekket i 2021 at GUTI endres for sjelden i de norske mobilnettene og potensielt kan utnyttes til å spore personer i mobilnettet (i.blackhat.com, engelsk, pdf).

Lik risiko for nedgraderingsangrep

Alle mobilnett er sårbare for nedgraderingsangrep. Dette er ingen 5G-spesifikk sårbarhet, men en sårbarhet som eksisterer som resultat av tilsiktet fleksibilitet og hvordan mobile enheter fungerer. Det er en kombinasjon av 2G-, 4G- og 5G-kompatibelt utstyr i mobilnettet i Norge (3G-nettet ble skrudd av i 2021, og 2G-nettet skal etter planen skrus av i 2025). For å sikre at man skal kunne kommunisere til enhver tid, bytter mobiltelefonene automatisk nett ved behov. En angriper kan derfor «jamme» frekvensene til 5G- og 4G-basestasjonene innen et område, slik at mobilutstyret innenfor dette området kobler seg til 2G-nettene. Deretter kan angriperne utnytte sårbarhetene i 2G-nettet med billige falske basestasjoner, for eksempel til å avlytte telefonsamtaler og lese/endre/blokkere tekstmeldinger.

I konfigurasjonen til mobiltelefonene finnes det fremdeles ingen mulighet for å kun la telefonen koble seg til 5G- eller 4G-nettene. Enkelte Android-mobiler har dog fått mulighet til å deaktivere 2G (digi.no). Helt nye mobiltelefoner er derfor også sårbare for nedgraderingsangrep, fordi de støtter eldre teknologier. Grunnen til at 2G-nettet fortsatt eksisterer, er at det finnes gamle enheter i drift som ikke støtter 4G eller 5G. Det gjelder hovedsakelig M2M-enheter (maskin-til-maskin), slik som for eksempel boligalarmer, heiskommunikasjon og biler.

Hvis man i fremtiden avdekker sårbarheter i 4G-teknologien, vil angripere kunne gjennomføre tilsvarende nedgraderingsangrep for å utnytte disse. Risikoen ved nedgraderingsangrep er noe vi må leve med så lenge mobilnettet støtter eldre standarder.

Internet of Things (IoT)

En av fordelene som ofte nevnes med 5G, er at teknologien skal være billigere og mer effektiv enn tidligere. I tillegg legger de nye mulighetene innen mMTC (massive Machine Type Communications) grunnlag for tilkobling av svært mange IoT-enheter i nettet samtidig. Aktører vi har snakket med fremhevet nettopp mulighetene 5G gir for norsk industri. Dette er også noe av grunnen til at Kommunal- og distriktsdepartementet og Næringsdepartementet tok initiativ til å opprette et 5G-industriforum i mai 2022 (nkom.no). Mange antar derfor at flere IoT-enheter vil kobles direkte til 5G-nettet i fremtiden.

IoT-enheter er i utgangspunktet ikke kjent for å være spesielt godt sikret, noe det kan være flere grunner til. For det første benyttes IoT-teknologi til å koble ting på internett som historisk sett har vært frakoblet, for eksempel kjøleskap, vaskemaskiner og varmeovner. Produsentene av slike enheter har tidligere ikke trengt å forholde seg til IT-sikkerhetsaspektet ved produktene deres, og kan derfor mangle kompetanse til å sikre produktene de tilbyr. For det andre er det ikke sikkert at eierne av IoT-enheter har kompetanse til å bruke og konfigurere enhetene sikkert, i den grad det er mulig.

De mange sårbarhetene som finnes i forskjellige IoT-enheter har gjort at disse har blitt brukt som ledd i store sikkerhetsangrep, ofte uten at eierne deres har visst om det (digi.no).

Det er viktig å fremheve at de fleste av dagens IoT-enheter har vært koblet på alminnelige lokale nettverk, hvor en ruter med innebygget brannmur (for eksempel en WiFi-ruter) i mange tilfeller har fungert som en beskyttende barriere mellom IoT-enhetene og internett. De fleste IoT-enheter har altså ikke vært direkte eksponert mot internett. IoT-enheter som baseres på 5G vil imidlertid være det, noe som øker sannsynligheten for direkte angrep mot slike enheter.

Inntoget av IoT-enheter i 5G-nettet vil sannsynligvis by på utfordringer, både for mobilnettleverandørene, produsentene og brukerne. Det kan for eksempel gjelde produsenter som ikke evner å tilby sikre produkter i utgangspunktet, eller som ikke evner å holde produktene sikre over tid. Vi kan også se for oss scenarier hvor industrielle virksomheter med mange 5G-sensorer i drift ikke har kompetanse til å konfigurere enhetene sikkert, eller ikke evner å oppdatere dem i tide, og dermed vil utsette både seg selv og 5G-nettet for sikkerhetsrisikoer.

Det blir helt nødvendig å sørge for tilstrekkelig kompetanse for både mobilnettleverandører, IoT-produsenter og brukere for å minimere risikoene som den økte bruken av IoT-enheter i 5G-nettet kan medføre. Det er viktig slik at sikkerheten i mobilnettet kan ivaretas på tross av alle de nye enhetene i nettet, at produktene utvikles på en sikker og personvernvennlig måte i utgangspunktet og at brukerne evner å drifte produktene på en sikker måte.

Større angrepsflate

Egenskapene som 5G-nettet vil få, legger til rette for en eksplosiv økning av antall tilkoblede enheter. Når flere enheter kobles til det samme nettet vil det få en større angrepsflate. Det vil si at det blir mulig å angripe nettet gjennom flere kanaler enn tidligere. En kan for eksempel angripe nettet via mobiltelefoner, kjøleskap, vaskemaskiner eller industrielle sensorer. Jo flere tilkoblede enheter, desto flere muligheter. Hvis hackere klarer å ta over en million kjøleskap med samme sårbarhet, kan de potensielt bruke disse for å forsøke å overbelaste mobilnettet slik at vi andre ikke kan bruke det. De kan også bruke kjøleskapene i et angrep mot en annen virksomhets infrastruktur.

I tillegg til at enhetene som er tilkoblet nettet må være sikret, må nettet i seg selv være godt sikret mot misbruk og angrep, og teleoperatørene må passe på at de har tilstrekkelig kompetanse til å drifte nettene og skivene på en sikker måte.

Fundamentalt ny infrastruktur

En av de fundamentale endringene med 5G, er at kjernenettet ikke lenger driftes fra maskinvare som er spesielt laget for mobilnett. 5G-kjernenettet kan opprettes, konfigureres og driftes på helt alminnelige servere og datamaskiner, så lenge man har tilgang til den nødvendige programvaren. Selv om dette utelukker enkelte sårbarheter, åpner det for andre. Mobilnettleverandørene må for eksempel både forholde seg til sårbarheter i 5G-programvaren og sårbarheter i operativsystemet som programvaren kjøres på.

Videre er både kjernenettet i seg selv og funksjonaliteten som vil tilbys i nettet programvaredefinert. Skivedeling baseres for eksempel på virtualisering som har vært en del av skytjenester i lang tid. Overgangen til programvaredefinerte nettverk gir mer fleksibilitet, men krever omstilling hos mobilnettleverandørene slik at de evner å sikre nettverkene. En kan også se for seg at det oppstår usikkerhet om hvem som har ansvaret for sikkerheten i de ulike skivene. Er det mobilnettleverandøren, tredjeparts "skiveforhandlere" eller kjøperne som skal sørge for sikkerheten?

Vi har sett den samme utfordringen hos brukere av skytjenester, hvor sikkerheten avhenger like mye av brukerne som av tilbyderne. Det spiller for eksempel liten rolle om infrastrukturen til en leverandør av e-posttjenester er godt sikret, hvis brukeren setter passordet sitt til "123456". Med flere aktører blir verdikjedene lengre og kompleksiteten øker, noe som igjen kan føre til høyere risiko for sikkerhetsbrudd.

Skivedeling åpner potensielt også for utilsiktet dataflyt mellom de ulike virtuelle nettverkene (skivene). Det finnes ingen kjente slike sårbarheter enda, men muligheten blir en logisk følge av at nettverkene er programvaredefinerte, og ikke definert av forskjellige fysiske enheter.

"Single point of failure"?

Hvis angrep på ett system fører til at mange andre systemer slutter å fungere, kan systemet bli et "single point of failure". Jo flere kritiske enheter som flyttes til samme nett, desto høyere blir sikkerhetskravene for nettet. 

• Direktoratet for samfunnssikkerhet og beredskap (DSB) vurderer å flytte nødnettet over på 5G (statsforvalteren, pdf).
• Forsvaret ser på hvordan ny teknologi kan gjøre Forsvaret bedre og eksperimenterer med bruk av 5G-nettet i stridssituasjoner (ffi.no).
• Sporveien skal bruke 5G-nettet til å styre T-banen i Oslo (presse.telia.no).

Nødnettet må være tilgjengelig hele tiden. For at det skal være mulig, må nettet for eksempel være sikret mot naturkatastrofer og terrorangrep. Hvis forsvaret blir avhengige av nettet for å være operative i en stridssituasjon, må nettet være mer motstandsdyktig mot blant annet rakettangrep og hackerangrep fra ressurssterke fiender.

Hvis nettet blir et "single point of failure» for mye samfunnskritisk funksjonalitet, må det bygges på en svært robust måte. Det kan for eksempel ikke være slik at store deler av nettet slutter å fungere hvis en basestasjon eller et datasenter blir satt ut av drift. Det betyr at mobilnettleverandørene må investere mer i nettet, slik de har noe som kan ta over oppgavene til de delene av nettet som er ute av drift. Jo mer robusthet man ønsker i nettet, desto dyrere vil det være å bygge. Kostnaden står i motsetning til at nettilbyderne er private aktører som neppe har insentiv til å investere noe mer enn akkurat det som kreves av myndighetene og for å tilfredsstille kundenes behov.

Robustheten i nettet avhenger slik sett både av myndigheters reguleringsevne, kundenes betalingsvilje og nettleverandørenes investeringsvilje i funksjonalitet som kanskje sjelden eller aldri blir satt på prøve, men som vil være helt kritisk dersom det blir satt på prøve.

Ukryptert landskode og nettverkskode

Selv når vi får på plass frittstående 5G, vil landskode (Mobile Country Code, MCC) og nettverkskode (Mobile Network Code, MNC) sendes ukryptert over mobilnettet. Norge har for eksempel en unik identifikator, og de ulike mobiloperatørene i Norge har unike identifikatorer.

Sannsynligheten for å identifisere enkeltabonnenter via MCC/MNC i Norge er svært lav, fordi flertallet som er koblet på en basestasjon her har et norsk abonnement. I utlandet vil det derimot være høyere sannsynlighet for å kunne identifisere norske mobilabonnenter ved hjelp av disse kodene, fordi det vil være færre norske mobilabonnenter koblet til de ulike basestasjonene.

Problemstillingen settes på spissen i områder med mange basestasjoner, typisk i byer, hvor det vil det være mulig å bestemme posisjonen til en telefon med norsk mobilabonnement innenfor et relativt begrenset område – for eksempel i et bygg eller et kvartal. En angriper som overvåker en person med norsk abonnement i utlandet, vil dermed kunne anslå sannsynligheten for at personen de overvåker befinner seg i et forventet område. Det samme vil gjelde for personer med utenlandsk mobilabonnement i Norge.