SÄKERHETSKRAV FÖR IOT OCH 5G HUR MÖTER JAG SOM STADSNÄT SÄKERHETSKRAVEN FÖR IOT OCH 5G?

Relevanta dokument
TAKTIL INTERNET SÅ KOMMER TAKTIL INTERNET ATT FÖRÄNDRA BRANSCHEN FRAMÖVER

Datasäkerhet och integritet

Alias 1.0 Rollbaserad inloggning

Sectra Critical Security Services. Fel bild

IPv6 i Mobilnät. Mattias Karlsson. mattias.karlsson@telenor.com

Michael Q. Jones & Matt B. Pedersen University of Nevada Las Vegas

Windows 8 och det nya arbetslivet. Magnus Holmér IT strategisk rådgivare

Grundkurs i 5G 5G och sedan då?

Förändrade förväntningar

Föreläsning 10 Mål Förse en översikt av mobilnätens utveckling Förstå komponenterna i ett mobilt nät. Mobila nätverk (1/5) Mobila nätverk (2/5)

The Municipality of Ystad

Konsten att få eduroam säkert. Anders Nilsson Hans Berggren

OUTSOURCING TILL MOLNET

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

D-RAIL AB. All Rights Reserved.

Enterprise App Store. Sammi Khayer. Igor Stevstedt. Konsultchef mobila lösningar. Teknisk Lead mobila lösningar

Beijer Electronics AB 2000, MA00336A,

802.11b Wireless router w. 4 port switch. StarTech ID: BR411BWDC

Information technology Open Document Format for Office Applications (OpenDocument) v1.0 (ISO/IEC 26300:2006, IDT) SWEDISH STANDARDS INSTITUTE

Styrteknik: Binära tal, talsystem och koder D3:1

Viktig information för transmittrar med option /A1 Gold-Plated Diaphragm

Design Service Goal. Hantering av demonterbara delar som ingår i Fatigue Critical Baseline Structure List. Presentatör

Stad + Data = Makt. Kart/GIS-dag SamGIS Skåne 6 december 2017

Dokumentnamn Order and safety regulations for Hässleholms Kretsloppscenter. Godkänd/ansvarig Gunilla Holmberg. Kretsloppscenter

Självkörande bilar. Alvin Karlsson TE14A 9/3-2015

SVARTFIBER-TILL-VILLA

SÅ LYCKAS DU MED DIN MOLNSTRATEGI. Frukostseminarium 7 februari 2017

ÖPPET SPEKTRUM 3,5 GHz. Jon Karlung, vd Bahnhof AB

RADIATION TEST REPORT. GAMMA: 30.45k, 59.05k, 118.8k/TM1019 Condition D

Din guide till en säkrare kommunikation

Examensarbete Introduk)on - Slutsatser Anne Håkansson annehak@kth.se Studierektor Examensarbeten ICT-skolan, KTH

SkillGuide. Bruksanvisning. Svenska

Plats för projektsymbol. Nätverket för svensk Internet- Infrastruktur

Användarhandbok. MHL to HDMI Adapter IM750

Kapitel 13: (Maria Kihl)

Ta kontroll över dina loggar och gör dem användbara!

Telefoninäten. Jens A Andersson

Hur fattar samhället beslut när forskarna är oeniga?

The present situation on the application of ICT in precision agriculture in Sweden

CHANGE WITH THE BRAIN IN MIND. Frukostseminarium 11 oktober 2018

Designmönster för sociala användningssituationer

PFC and EMI filtering

Lär dig sälja framtidens trådlösa. idag

1 Internal. Internetdagarna

Installation Instructions

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

Preschool Kindergarten

What Is Hyper-Threading and How Does It Improve Performance

Nya möjligheter med M3 Technology. Björn Svensson, Björn Torold

Skyddande av frågebanken

Teknik 5:2 Hur bör stadsnäten förbereda sig för att kunna distribuera kvalitativa molntjänster?

Avståndsmätare hur användandet kan regleras. Materialet framställt i samarbete mellan: SGF:s Regelkommitté & Tävlingsenhet

Säkerhet i framtidens industrisystem

Fakta om IPnett. Grundat Nordiskt företag kontor i Stockholm, Oslo, Stavanger och Köpenhamn. Mer än 100 anställda i Norden

Komponenter Removed Serviceable

Sammanfattning. Revisionsfråga Har kommunstyrelsen och tekniska nämnden en tillfredställande intern kontroll av att upphandlade ramavtal följs.

Designprinciper för säkerhet och Epilog. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Etik och säkerhetsfilosofi i praktiken

Plan of Mobile Network Codes (MNC) according to ITU-T Recommendation E.212/ Disposition över mobila nätkoder (MNC) enligt ITU-T rekommendation E.

Kapitel 13: Telefoninäten. Spanning Tree. Jämförelse med OSI-modellen. Jens A Andersson (Maria Kihl)

1. CEPT ECC/ERC-beslut

Skydda ditt nät och dina kunder från näthoten. Integritet, Spårbarhet och Tillgänglighet

Agenda. Tid Aktivitet Föreläsare Åtgång tid 08:30 Registrering vid TS recep. Transport till våning 5.

Sex frågor du bör ställa dig innan du väljer M2M-uppkoppling

Webbregistrering pa kurs och termin

SVARTFIBER-TILL-VILLA EN PRODUKT FÖR OPERATÖRER ANPASSAD TILL KONSUMENTMARKNADEN OCH LEVERERAD AV STADSNÄT

Hur hanterar du säkerhetsincidenter du inte vet om?

The Smart City how smart can IT be?

5G SOM DIGITAL INFRASTRUKTUR FÖR TRANSPORTSEKTORN

2.1 Installation of driver using Internet Installation of driver from disk... 3

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Problem som kan uppkomma vid registrering av ansökan

Identity Management i ett nätverkssäkerhetsperspektiv. Martin Fredriksson

Användarhandbok. Xperia P TV Dock DK21

Trender inom Nätverkssäkerhet

Grafisk teknik IMCDP IMCDP IMCDP. IMCDP(filter) Sasan Gooran (HT 2006) Assumptions:

DA HT2011: F18. Länklagret och uppkopplingstekniker Ann-Sofi Åhn

SÅ SKAPAR STOKABKONCERNEN RESILIENS I DET UPPKOPPLADE STOCKHOLM

Support Manual HoistLocatel Electronic Locks

Writing with context. Att skriva med sammanhang

SVENSK STANDARD SS-EN ISO 19108:2005/AC:2015

Swedish National Data Service

Pulsen IAM: Del 2 Trender och teknik för morgondagens utmaningar. Tobias Ljunggren, PULSEN

SAS VIYA JOHAN ELFMAN ROLAND BALI

FÖRBERED UNDERLAG FÖR BEDÖMNING SÅ HÄR

Konceptet Robust fiber Nyheter och aktualiteter Bredbandsbåten 3 okt 2018

Tryck- och svetsseminarie 2014 Föredrag: Golden welds vad är problemet? Föredragshållare: Mikael Rehn, Inspecta Sweden AB

UTMANINGAR MED FORSKNINGSPROGRAM

FORTA M315. Installation. 218 mm.

Webbreg öppen: 26/ /

8% 6% 4% 2% 0% -2% -4% -6% -8% p. BNP IT-budget

Application Note SW

Wi-Fi travel router for ipad and mobile devices

Cloud Computing. Richard Richthoff Strategisk Rådgivare Radar Group International

Cyberförsvarsdagen 2018 Upptakt & Nuläge. Richard Oehme Director Cyber Security & Critical Infrastructure Protection

Grafisk teknik IMCDP. Sasan Gooran (HT 2006) Assumptions:

ISO STATUS. Prof. dr Vidosav D. MAJSTOROVIĆ 1/14. Mašinski fakultet u Beogradu - PM. Tuesday, December 09,

Service och bemötande. Torbjörn Johansson, GAF Pär Magnusson, Öjestrand GC

Hur man skyddar sig på internet

Centralförsvar Övergavs 1900 när man började bygga Bodens fästning

Transkript:

SÄKERHETSKRAV FÖR IOT OCH 5G HUR MÖTER JAG SOM STADSNÄT SÄKERHETSKRAVEN FÖR IOT OCH 5G? OKTOBER 2019 Jimmy Persson Utveckling och Säkerhetschef Jimmy.persson@ssnf.org 08-214 640 BB2019 - Teknik 8 Öppen

5 viktiga säkerhetsaspekter inom mobilnät med 5G

Säkerhet i mobilnät 4G/5G Utökad användarautentisering Autentisering av användare som vill ha åtkomst till nätverket är det främsta skyddet i ett cyberförsvar. I ett 4G-nät autentiserar telekommunikationsoperatörer användare med ett SIM-kort placerat i smartphones och andra enheter. Eftersom Internet of Things-anslutningar varierar i formfaktor och strömförbrukning, liksom i vilken typ och mängd data de kan skicka och ta emot, kan ett SIM-kort inte klara av IoT: s olika enheter och krav. 5G löser detta problem genom att tilldela unika identiteter till varje enskild enhet*, eliminerar behovet av ett SIM-kort och lägger ansvar för autentisering från operatören till enskilda tjänsteleverantörer. 4G: SIM-kort SIM-kort för IoT Begränsar funktionen 5G: SUPI & PEI *Subscriber Permanent Identifier (SUPI) och Permanent Equipment Identifier (PEI).

Allmänt om säkerhet i 5G Utökad och förbättrad kryptering 5G ger 256-bitars kryptering* vid roaming och anslutning till en basstation När en 4G-enhet ansluts till en basstation verifierar den användarens identitet, men gör det utan att kryptera informationen, vilket gör att den är sårbar för attacker. Så även om efterföljande samtal eller texter är krypterade med 128-bitars kryptering i 4G, är användarens identitet och plats inte det. Med 5G krypteras användarens identitet och plats*, vilket gör det mycket svårt att identifiera och lokalisera från det ögonblick uppkoppling skett till nätverket. Eliminerar ex. IMSI catchers** 4G: inte krypterat vid anslutning till BBU 4G: session krypterad 5G: SUCI. Krypterad anslutning *Subscription Concealed Identifier (SUCI) **Rogue base Station (RBS)

Allmänt om säkerhet i 5G Core vs RAN Core och RAN växer ihop? Ett mobilnät består av Core och RAN. Dessa är separerade på olika nivåer. Vid införande av Edge computing så sker bearbetning av data som i 3G och 4G skett i core nära RAN-nätet, i edge/accessnätet som ett mellansteg för att få exempelvis låg fördröjning och hög tillgänglighet. Core Autentisering, kryptering, kritiska element Frågan är om separering mellan Core och RAN kommer att försvinna när förbättrad datorkraft flyttas närmare nätverkets användare i accessnätet (edge computing)? Som namnet antyder är Core i princip nätverkets hjärna. Den styr autentisering, kryptering och andra element som är avgörande för säkerhet och integritet, till exempel känslig kundinformation. RAN är nätverkets armar och ben. Det sitter vid nätverkets accessnät och tar signaler från smartphones och andra enheter och överför dem tillbaka till Core med hjälp av basstationer. Som 4G, och i motsats till vad vissa hävdar, upprätthåller 5G en tydlig åtskillnad mellan RAN och Core. RAN Radio Accessnät Hanterar enheter och basstationer

Allmänt om säkerhet i 5G Edge computing 5G kommer att leverera många tjänster som kräver extremt höga hastigheter, stabil nätverksprestanda. Virtual reality och andra applikationer kräver alla kraftig processorkraft och minimal fördröjning och hög tillgänglighet. Edge Computing Beräkningsresurser nära enheter (RAN/edge/accesnät) För att uppnå dessa prestandakrav kommer 5G att driva datorresurser närmare RAN/accessnät(edge) och användare genom Edge computing. Trots detta förblir coreresurser tydligt åtskilda från RAN och omfattas av Cores robusta säkerhetsprotokoll. Denna flytt av lagring, minne och datorkraft närmare användare gör inget för att göra mobilnätet mindre säkert. Det kräver dock möjlighet till bra inplacering och robust fiberinfrastruktur i accessnätet

Allmänt om säkerhet i 5G Att mixa hårdvara från olika leverantörer Sprida risker genom Flera leverantörer av HW Ett annat övervägande är att mobil- och telekommunikationsoperatörer rekommenderas att använda utrustning från flera leverantörer. Att använda mer än en leverantör i både core och RAN ökar nätverkets motståndskraft genom att eliminera risken för ex. leverantörsrelaterad bugg, brist på reservdelar eller sanktioner/konkurser. Det skapar också konkurrens som kan uppmuntra leverantörer att hålla priserna låga och ge mer innovativa former av robusthet av säkerhet och mer innovation av alla slag.

Om logiken har denna höga robusthet och säkerhetsnivå så är det lika viktigt att underliggande nät har korrelerad nivå!

Skarvboxar för fiber får inte se ut såhär!

Brunnar för fiber får inte se ut såhär!

ODF/patchar för fiber får inte se ut såhär!

Noder för fiber får inte se ut såhär!

Noder för fiber får inte se ut såhär!

Infrastrukturellt stöd för mobilutveckling/iot måste finnas i fiberportföljen!

Fiber till xg/iot Strategiska stadsnätslösningar Fiber till Macrocell på tak (FTTA) Fiber till inomhustäckning (Femto/atto-antenner) Fiber till Små celler (FTTA) Fiber till villa Fiber till Små celler (FTTA) Site och Nod 10 dagas drift utan extern el Fiber till datacenters för BBU-hotell (Edge) och SDN/NFV logik (Core) 400Gbps och mer Fiber till samhället Fiber till Carrier WiFi 5G Fronthaul (Förlängd access) max 20km Nå så mycket som möjligt från ett par strategiska noder Högkvalitativ inplacering för operatörer Edge computing möjligheter Distributerad 48DCV till FTTA 5G Backhaul (fiber för transportnät) WDM och högeffektlaser I accessförbindelser RAN Edge Core

Fiber till samhället Multi-Operatörtjänster Varje operatör äger egen aktiv utrustning. Varje operatör hyr inplacering, antenn och/eller fiber från stadsnätet Antenn ägd av stadsnät för Multi-operatör makroceller Svartfiber/våglängd till operatörer för antennplats på taket från stadsnät Antenn ägd av stadsnät för Multi-operatör småceller Aktiv antenn ägd av stadsnät för Multi-operatör för inomhustäckning femto/atto Site och Nod 10 dagars drift Utan extern el Inplacering ägd av stadsnät för accesser av multi-operatörstjänster Aktiv antenn ägd av stadsnät för multi-operatör för Småceller Operatör 1 Operatör 2 Operatör Xn RAN Stamnät DWDM/CWDM och/eller svartfiber för Multi-operatörtjänster från stadsnät RAN Edge * CBRS: Citiziens Broadband Radio Service (150MHz, 3550-3700MHz i USA)

Fiber till samhället Multi-Operatörtjänster Varje operatör äger egen aktiv utrustning. Varje operatör hyr inplacering, antenn och/eller fiber från nätägare Support för nytt spektrum och bandbredd. mmimo och beaming, Network slicing, CUPS, Multi-access edge Computing ruralhaul 20-150km Mid/fronthaul 20-50 km Backhaul 40-200km Landsbygd/ yttre landsbygd Landsbygd med jordbruk närmare staden Stad / tätort Cloud Operatör, kommun systemleverantörer Delad antenn mmimo Site&nod datacenter -småskaligt N x 100GBE+ L2/L3 Delad antenn mmimo Site&nod datacenter -småskaligt Delad antenn mmimo N x 100GBE+ L2/L3 N x 400GBE+ L3 SDN/NFV Cloud Serverpark Site&nod datacenter -likt Stamnät DWDM och/eller svartfiber för Multi-operatörtjänster

Innovation El som en del av tjänsten! FTTA - Hybrid fiber/power till antenner (48V DC) PFC - 302L12

Förutom detta.. Om ni tillhandahåller en plattform för IoT. Vad göra då?

Det finns snart en vägledning som fokuserar specifikt på säkerhet för IoT ekosystem Vägledning för Robust och Säker IoT

IoT-säkerhet: Innehåll Enisa Guidlines Europeiska unionens cybersäkerhetsbyrå Referensmodell RSA Ekosystemet Minikrav aktör

IoT-säkerhet Eko-systemet

IoT-säkerhet - aktörer

IoT-säkerhet Aktörer, minimikrav o IoT-hårdvaruproducenter och IoT-programvaruutvecklare o Leverantörer av IoT enheter o Leverantörer av övriga IoT-enheter o Leverantörer av plattformar och backend o Leverantörer av applikationer och tjänster o Leverantörer av kommunikationstjänster o Leverantörer av IoT Ekosystem Minimikrav för säkerhet inom 11 områden för dessa aktörer 1. Information System Security Governance & Risk Management 2. Ecosystem Management 3. IT Security Architecture 4. IT Security Administration 5. Identity and access management 6. IT security maintenance 7. Physical and environmental security 8. Detection 9. Computer security incident management 10. Continuity of Operations 11. Crisis Management

IoT-säkerhet Riskanalys på hela IoT-ekosystemet. Bashoten Hotkategori Bashot (- Systemdel ) Beskrivning Outages Loss of support services Unavailability of support services required for proper operation of the information - All Assets system. Damage / Software vulnerabilities Loss (IT Assets) - Other IoT Ecosystem devices - Platform & Backend - Infrastructure - Applications & Services Failures / Third parties failures Malfunctions - Other IoT Ecosystem devices - Platform & Backend - Infrastructure - Applications & Services Nefarious activity / IoT communication protocol Abuse hijacking - Information - Communications Damage / Data / Sensitive information Loss (IT Assets) leakage - Other IoT Ecosystem devices - Platform & Backend - Information Disaster Natural Disaster - Other IoT Ecosystem devices - Platform & Backend - Infrastructure Nefarious activity / DDoS Abuse - Other IoT Ecosystem devices - Platform & Backend - Infrastructure Nefarious activity / Attacks on privacy Abuse - Other IoT Ecosystem devices - Platform & Backend - Information Nefarious activity / Modification of information Abuse - IoT Devices - Other IoT Ecosystem devices - Platform & Backend - Information Nefarious activity / Network reconnaissance Abuse - Information - Communications - Infrastructure Nefarious activity / Replay of messages Abuse - Information - Decision making Physical attacks Device destruction (sabotage ) - Other IoT Ecosystem devices - Platform & Backend - Infrastructure Översikt av IoT- hot The most common IoT devices are often vulnerable due to weak/default passwords, software bugs, and configuration errors, posing a risk to the network. This threat is usually connected to others, like exploit kits, and it is considered crucial. Errors on an active element of the network caused by the misconfiguration of another element that has direct relation with it. Taking control of an existing communication session between two elements of the network. The intruder is able to sniff sensible information, including passwords. The hijacking can use aggressive techniques like forcing disconnection or denial of service. Sensitive data is revealed, intentionally or not, to unauthorised parties. The importance of this threat can vary greatly, depending on the kind of data leaked. These include events such as, floods, heavy winds, heavy snows, landslides, among others natural disaster, which could physically damage the devices. Multiple systems attack a single target in order to saturate it and make it crash. This can be done by making many connections, flooding a communication channel or replaying the same communications over and over. This threat affects both the privacy of the user and the exposure of network elements to unauthorised personnel. In this case, the objective is not to damage the devices, but to manipulate the information in order to cause chaos, or acquire monetary gains. Passively obtain internal information about the network: devices connected, protocol used, open ports, services in use, etc This attack uses a valid data transmission maliciously by repeatedly sending it or delaying it, in order to manipulate or crash the targeted device. Incidents such devices theft, bomb attacks, vandalism or sabotage could damage devices Hotkategori Bashot (- Systemdel ) Beskrivning Disaster Environmental Disaster - Other IoT Ecosystem devices - Platform & Backend - Infrastructure Disasters in the deployment environments of IoT equipment and causing their inoperability. Nefarious activity / Abuse Nefarious activity / Abuse Nefarious activity / Abuse Nefarious activity / Abuse Nefarious activity / Abuse Nefarious activity / Abuse Nefarious activity / Abuse Nefarious activity / Abuse Outages Outages Physical attacks Outages Malware - Other IoT Ecosystem devices - Platform & Backend Exploit Kits - Other IoT Ecosystem devices - Infrastructure Targeted attacks - Infrastructure - Platform & Backend - Information Counterfeit by malicious devices - Other IoT Ecosystem devices - Infrastructure Man, in the middle - Information - Communications Interception of information - Information - Communications Session hijacking - Information - Communications Information gathering - Information - Communications Failure of system - Platform & Backend - Other IoT Ecosystem devices Network Outage - Infrastructure - Communications Device modification - Communications Failures of devices Översikt av IoT- hot (fortsättning) Software programs designed to carry out unwanted and unauthorised actions on a system without the consent of the user, resulting in damage, corruption or information theft. Its impact can be high. Code designed to take advantage of a vulnerability in order to gain access to a system. This threat is difficult to detect and in IoT environments its impact ranges from high to crucial, depending on the assets affected. Attacks designed for a specific target, launched over a long period of time, and carried out in multiple stages. The main objective is to remain hidden and to obtain as much sensitive data/information or control as possible. While the impact of this threat is medium, detecting them is usually very difficult and takes a long time. This threat is difficult to discover, since a counterfeit device cannot be easily distinguished from the original. These devices usually have backdoors and can be used to conduct attacks on other ICT systems in the environment. Active eavesdropping attack, in which the attacker relays messages from one victim to another, in order to make them believe that they are talking directly to each other Unauthorised interception (and sometimes modification) of a private communication, such as phone calls, instant messages, e-mail communications Stealing the data connection by acting as a legitimate host in order to steal, modify or delete transmitted data. Passively obtain internal information about the network: devices connected, protocol used, etc. Threat of failure of software services or applications Interruption or failure in the network supply, either intentional or accidental. Depending on the network segment affected, and on the time required to recover, the importance of this threat ranges from high to critical. Tampering a device by for example taking advantage of bad configuration of ports, exploiting those left open. Threat of failure or malfunction of hardware devices

IoT-säkerhet RSA på hela IoT-ekosystemet

Arbetet pågår klart vid årets slut. Vägledning för Robust och Säker IoT

Frågor? Jimmy Persson Utveckling- och säkerhetschef Jimmy.persson@ssnf.org 08-214 640

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss