5G en de N van NESAS
Nooit zullen zo veel apparaten op één netwerk zijn aangesloten als straks, wanneer 5G overal is. Dat is geweldig, maar het brengt ook risico's met zich mee. Hoe zorg je dat het netwerk veilig is? Dat apparaten als jouw mobieltje en laptop op een veilige manier communiceren met elkaar en met het netwerk? Het netwerk dat zelf ook bestaat uit allerlei apparaten van verschillende fabrikanten. Grote bedrijven uit de telecomsector hebben hiervoor een standaard afgesproken. Daarmee kan worden gemeten of iedereen zijn security op orde heeft. Deze standaard heet NESAS.
Een ingewikkeld netwerk
Voordat 5G op jouw telefoon werkt, moet er heel wat apparatuur in stelling worden gebracht. Dat is een complex geheel, waarbij iedere fabrikant weer een ander onderdeel levert. Het is in het belang van iedereen dat die componenten goed werken en dat er geen veiligheidsrisico's zijn. Dit om te voorkomen dat de inhoud van jouw WhatsApp-gesprekken of je surfgedrag in handen komt van mensen die daar niets mee te maken hebben. Ook de Nederlandse overheid vindt dat belangrijk.
Zorgen om de veiligheid
Minstens zo ingewikkeld als het 5G-netwerk is de politieke situatie in de wereld. Daarom wordt al jaren een discussie gevoerd over fabrikanten die een hoog risico zouden vormen. De angst is dat fabrikanten uit bepaalde landen minder te vertrouwen zijn dan andere. Die zorgen zijn begrijpelijk. Maar partijen uitsluiten op basis van hun komaf maakt het netwerk niet meteen veiliger. Volgens de meeste fabrikanten in de telecomsector is het daarom beter om de veiligheid van de technologie uitgebreid te meten. Dat moet gebeuren door een onafhankelijke instantie. Zo kun je objectief vaststellen hoe het met die veiligheid gesteld is. Vanuit die gedachte is NESAS ontstaan: het Network Equipment Security Assurance Scheme.
Eén voor allen
Flink wat partijen in de telecomsector over de hele wereld staan inmiddels achter NESAS. Dat geldt voor aanbieders als Vodafone en Orange maar ook voor leveranciers van onderdelen als Ericsson, Nokia en Huawei. In de Europese Unie is Duitsland de grote voortrekker van dit model. In Nederland zijn alle leveranciers die een rol spelen in de aanleg van het 5G-netwerk ook voorstander van NESAS. Dat laat zien dat er steun is voor zo'n uniforme, meetbare veiligheidsstandaard, die als het even kan in de hele Europese Unie wordt toegepast.
Check, check, double check
Aan de ontwikkeling van NESAS werkten niet de minsten mee. Denk aan 3GPP (de organisatie die zorgt voor de standaardisering van 5G) en GSMA (de wereldwijde brancheorganisatie van telecomaanbieders). Het model bepaalt aan welke beveiligingseisen de productie van netwerkapparatuur moet voldoen. Of al die netwerkapparatuur echt zo veilig is als de fabrikanten beweren, wordt extern getoetst in testlaboratoria. De uitkomsten van die testen wordt gedocumenteerd en gedeeld met telecomaanbieders die eventueel gebruik willen maken van de geteste apparatuur. Er zijn al verschillende die in Europa deze audits uitvoeren en is er al een aantal testlaboratoria beschikbaar, ook in Nederland.
Continu verbeterd
Als resultaat van de samenwerking tussen de 3GPP en GSMA is in 2019 de eerste versie van NESAS gepubliceerd. Begin 2021 gevolgd door een versie met enkele aanpassingen, NESAS 2.0. In die tweede versie is vastgelegd dat leveranciers alleen nog onderdelen van derde partijen mogen kiezen die tot het eind van de levensduur worden ondersteund.
NESAS wordt steeds verder ontwikkeld en aangepast aan innovaties. Als een technologische nieuwe ontwikkeling het nodig maakt het model uit te breiden, kan dat zonder problemen. Daarmee blijft het model goed toe te passen en blijft de veiligheid gewaarborgd. Het is de bedoeling dat alle betrokken partijen - overheden als toezichthouder en technologiebedrijven als innovatoren - zo garant staan voor de veiligheid van 5G. Een kwestie van vinkjes zetten.