Les agences fédérales de cybersécurité continuent de délimiter les rôles de sécurité des parties prenantes dans les architectures de réseau de cinquième génération avec la publication de conseils sur la gestion appropriée des données dans les systèmes basés sur le cloud.
« Les données sont une ressource incroyablement précieuse qui anime toutes les industries du monde moderne », a déclaré Bob Kolasky, qui dirige le Centre national de gestion des risques de la Cybersecurity and Infrastructure Security Agency, dans un communiqué de presse jeudi. « Cela en fait une cible particulièrement attrayante pour les adversaires. Ce document souligne l’importance de la coordination entre les gouvernements et l’industrie pour s’attaquer à la tâche complexe de protéger nos données critiques. Comme pour les deux parties précédentes de cette série, CISA encourage la communauté 5G à revoir ce guide et à prendre des mesures concrètes pour aider à renforcer l’infrastructure cloud 5G du pays.
les pièces une et deux de la série CISA publiée avec la National Security Agency se concentrait sur la prévention et la détection des mouvements latéraux non autorisés à travers les réseaux et l’isolement des ressources du réseau, respectivement. La troisième tranche publié jeudi zoome sur la protection des données. Le guide présente une liste importante d’actions que les utilisateurs de systèmes 5G basés sur le cloud, ainsi que les fournisseurs de services cloud et les opérateurs mobiles, devraient tous prendre pour protéger les données au repos.
Mais pour les données en transit et les données en cours d’utilisation, les mesures d’atténuation de cybersécurité recommandées sont toutes dirigées vers les fournisseurs de services cloud et les opérateurs mobiles.
Le guide note que bien que les normes développées pour la 5G par le projet de partenariat de troisième génération imposent certaines capacités, il appartient toujours aux opérateurs de les activer et note l’importance de le faire.
« Des capacités de confidentialité et d’intégrité des données du plan utilisateur sont requises, mais leur utilisation est facultative à la discrétion de l’opérateur », ont écrit les agences concernant les données en transit, par exemple. « Certaines des menaces du plan utilisateur, telles que la personne au milieu et les violations de la vie privée, peuvent être atténuées grâce à l’utilisation requise de la confidentialité facultative et des capacités d’intégrité requises décrites ci-dessus. D’autres, telles que le routage et les attaques par déni de service (DoS) doivent être gérées dans le plan de contrôle et au-dessus et bénéficieraient de l’utilisation requise des capacités facultatives de confidentialité et d’intégrité.
Les orientations ont coïncidé avec un engagement des États-Unis en matière de sécurité et d’autres attributs qu’ils souhaitent établir pour la technologie 5G à travers le monde lors d’une troisième conférence sur la question tenue à Prague.
La conférence a commencé en 2019 lorsque Rob Strayer, qui était alors le principal responsable de la cybersécurité du Département d’État et travaille maintenant pour l’Information Technology Industry Council, s’est rendu dans la ville pour promouvoir la vision américaine de l’expansion de la 5G. C’était également assisté par Ajit Pai, alors président de la Commission fédérale des communications, en 2020 et est devenu un événement annuel où la République tchèque accueille des représentants du gouvernement, des universitaires et des représentants de groupes internationaux et régionaux de commerce et de normalisation pour se concentrer sur les implications de la technologie en matière de sécurité.
« Les enjeux de la sécurisation de ces réseaux ne pourraient pas être plus élevés », a déclaré jeudi la porte-parole de la Sécurité nationale de la Maison Blanche, Emily Horne. « Les États-Unis pensent que la sécurité de la 5G ne peut être traitée efficacement que par une approche véritablement mondiale et nous nous engageons à nous y engager avec tous nos alliés et partenaires pour promouvoir une infrastructure de technologies de l’information et des communications ouverte, interopérable, sécurisée et fiable soutenue par un chaîne d’approvisionnement de fournisseurs diversifiés et dignes de confiance.
Les propositions de Prague ne soyez pas précis sur les contrôles qui garantiraient les principes de mise en réseau souhaités. Et le groupe ne donne pas de noms concernant les fournisseurs d’équipements et de services de réseautage qui devraient être considérés comme dignes de confiance, mais il est apparu dans le cadre d’un effort de l’ère Trump pour être dur et affirmer son pouvoir dans les relations américano-chinoises, notamment en limitant l’empreinte des Chinois. géants des réseaux Huawei et ZTE sur les marchés mondiaux.
Les principes énumèrent des critères pour les pays gouvernants des fournisseurs dignes de confiance, qui engloberaient également des régimes comme la Russie, où Kaspersky Labs – dont l’utilisation est désormais interdite par le gouvernement américain – a son siège.
Mais la conférence pourrait se diriger vers un territoire technique plus complexe compte tenu de l’avènement d’une nouvelle génération de cyberattaques tierces cette année et de menaces plus récentes. posées par des entités basées dans des gouvernements alliés— qui a amené l’administration Biden à ajuster l’approche américaine de la cybersécurité, en particulier à travers la chaîne d’approvisionnement pour les technologies de l’information et de la communication.
« Les États-Unis soutiennent ces propositions, qui s’appuient sur des efforts antérieurs avec le G7 et le [Quadrilateral security dialogue among the United States, India, Australia and Japan] et nous avons l’intention de les promouvoir dans nos engagements mondiaux sur la 5G, qui est l’avenir de la connectivité Internet », a déclaré Horne. « Les États-Unis apprécient en outre le leadership de la République tchèque dans l’identification et la recherche de solutions aux défis de sécurité posés par le développement et le déploiement de technologies émergentes et perturbatrices et la publication des« Propositions de Prague 2.0 sur la cybersécurité des technologies émergentes et perturbatrices », à la conférence. »
Les conversations sur les normes ont également lieu dans le cadre d’un nouveau conseil États-Unis-UE sur le commerce et la sécurité nationale.