genel bakış
4G’den farklı olarak 5G, tüketici için yalnızca sesin ve daha hızlı veri hızının ötesine geçer. Bunun yerine, 5G aynı zamanda çok hızlı veri hızı, ultra düşük gecikme süresi ve yüksek güvenilirlikle birlikte kilit ağ işlevlerini modüler hale getirerek kurumsal dijital hizmetlerin önemli bir etkinleştiricisidir.
2021’de Malezya hükümeti, tedarik liderliğindeki bir 5G Tek Toptan Satış Ağı (SWN) kurulması ve çok operatörlü bir çekirdek ağ (MOCN) modelinin benimsenmesi yoluyla Malezya’da 5G kapsamının dağıtımını hızlandırmak için Digital Nasional Berhad’ı (DNB) kurdu. DNB 5G Ağ altyapısının siber güvenlik açısından güvence altına alınması, aşağıdaki temel faktörler nedeniyle ilk adımdan itibaren kritik olarak tanımlandı:
- Güç hizmetleri, telekomünikasyon ve hizmet sağlayıcı, kamu güvenliği, petrol ve gaz gibi kritik altyapı alanı dahil olmak üzere birden fazla endüstride görev açısından kritik uygulamalarda artış.
- İşletmeler 5G kapasitesinden yararlandıkça ve merkezi işlemeden şirket içi veya Uç işleme modeline geçiş yaptıkça akıllı endüstriyel IoT cihazlarının büyümesi.
- Yekpare tescilli sistemlerden, bilinen güvenlik açıkları nedeniyle yanlışlıkla daha fazla risk oluşturan açık kaynaklı veya kullanıma hazır ticari yazılıma dayalı hizmet tabanlı mimariye geçiş.
- LightBasin gibi telekomünikasyon ve hizmet sağlayıcı sektörünü hedef alan uzmanlaşmış tehdit aktörlerinin son zamanlarda artması, dünya çapındaki son telekomünikasyon ihlallerinden de anlaşılmaktadır. Bu tehdit aktörleri, kurbanlarını tehlikeye atmak için Origami Elephant ve Merdoor Backdoor gibi kötü amaçlı yazılımlardan ve arka kapılardan yararlanır.
Yukarıdaki faktörler ve bunlarla ilişkili siber güvenlik riskleri göz önüne alındığında, DNB’ler
siber güvenlik ekibi, 5G ağ altyapısını siber dayanıklılık, siber uyumluluk ve veri güvenliği açısından güvence altına almak için birkaç önemli siber güvenlik yaklaşımı belirledi.
5G Ağ Altyapısının Güvenliğini Sağlamak için Alınan Önemli Siber Güvenlik Yaklaşımları
DNB siber güvenlik ekibi tarafından 5G Ağ altyapısının tasarımından uygulanmasına kadar beş temel siber güvenlik yaklaşımı belirlendi. Güçlü bir siber güvenlik temeli oluşturmak için hem kritiklik hem de acil ihtiyaçlar temelinde tanımlandılar.
İlki, kapsamlı bir siber güvenlik yönetişimi ve raporlaması oluşturmaktı.
siber güvenlik risklerinin bağımsız stratejik ve operasyonel gözetimi, düzenleyici ve kurumsal siber güvenlik gereksinimlerine uyum, siber güvenlik tehditleri ve olayları ve son olarak veri güvenliği ve gizliliği sağlamak için çerçeve. Siber yönetişim, CEO da dahil olmak üzere şirketin üst yönetimine ek olarak bir yönetim kurulu siber güvenlik komitesi şeklinde yönetim kuruluna kadar genişledi ve ardından düzenleyici kurumlara sabit bir raporlama düzeni geldi. Bu, hem ilerlemenin hem de zorlukların şeffaf bir şekilde paylaşılmasını ve ilgili tüm paydaşlardan talep edilen geri bildirim ve desteği sağlamak içindir. Genel olarak, çoğu siber güvenlik ekibi
yönetişim raporlaması en iyi şekilde üst yönetim düzeyine yapılır.
İkincisi, hem siber güvenlik kontrollerinin hem de gereksinimlerin 5G ağ mimarisi tasarımında ve çözümlerinde sonradan akla gelen bir düşünce olarak değil, ilk günden itibaren bir Tasarımla Güvenli (SBD) yaklaşımını benimsemekti. Bu, eksiksizlik ve yönetilebilirlik için siber güvenlik kontrollerinin 5G Ağ altyapısına tam olarak entegre edilmesini sağlamak açısından önemlidir. Bir SBD yaklaşımı ayrıca tüm yeni 5G sistemlerinin, üretim 5G ağına dahil edilmeden önce siber güvenlik gereklilikleriyle tamamen uyumlu olmasını sağlar.
Üçüncüsü, 5G Ağ altyapısı ve sistemleri için hem Bilgi Teknolojisi (IT) hem de 5G telekomünikasyon alanından uluslararası standartlara dayalı bir dizi siber güvenlik uyumluluk gereksinimi belirlemek ve oluşturmaktı. BT tabanlı standartların benimsenmesi önemlidir, çünkü günümüzün telekomünikasyon yığınlarının çoğu Red Hat, Ubuntu, VMware, Microsoft, Kubernetes gibi açık kaynaklı veya kullanıma hazır yazılımlara dayanmaktadır. Kabul edilecek ilgili siber güvenlik standartlarına örnek olarak ISO27002, CIS Critical Security Controls, CIS sertleştirme kıyaslaması, NESAS (ürün sertifikası), 3GPP TS 33.501, GSMA FS.31 ve Malezya MCMC MTFSB gibi yerel standartlar verilebilir.
Dördüncüsü, hem üst yönetim hem de yönetim kurulu tarafından belirlenen ve onaylanan temel siber güvenlik hedefleri, girişimleri ve bütçesi ile çok yıllı bir siber güvenlik programını gerekçelendirmek ve oluşturmaktı. Belirlenen siber güvenlik girişimleri, hem teknik hem de teknik olmayan kontrollerin uygulanmasında eksiksizliği sağlamak için NIST Çerçevesi kapsamında tanımlandığı şekilde Tavsiye, Koruma, Tespit ve Müdahale alanlarını kapsamalıdır. Kapsamlı bir siber güvenlik programı, kuruluşun siber güvenlik ekibinin vizyonunu, rolünü ve yönünü iletmede de önemlidir.
Son olarak, hem Kurumsal Bilgi Teknolojisi (BT) alanında hem de 5G Ağ altyapısında siber tehdit izleme ve yönetimi, tehdit avı, tehdit istihbaratı toplama ve olay müdahalesi sağlamak için bir Siber Güvenlik Füzyon Merkezi’nin (CFC) kurulması. Kritik Ağ Altyapılarındaki birçok siber güvenlik olayı, tehditlerin Kurumsal BT alanındaki ele geçirilmiş varlıklardan Operasyonel Teknoloji (OT) alanına yanal hareketinden kaynaklandığından, her iki ortamda uçtan uca siber tehdit izleme ve yönetimi önemlidir. Bugünün telekomünikasyon şirketlerinin çoğu, güvenlik izleme ve operasyonlarını her iki alanda birleştirmiyor, bu da tehditleri yanal olarak geçerken tespit etme yeteneklerini sınırlıyor.
Özetle, yukarıda tanımlanan yaklaşımlar, DNB’nin uzun vadede kurum ve 5G Şebeke altyapısı için siber güvenliğin geliştirilmesi ve uygulanmasında temel yapı taşlarını oluşturmasına olanak tanır. Siber güvenliğin, güvence altına alması ve koruması amaçlanan iş ve teknolojiden bağımsız olarak çalışamayacağını da belirtmek önemlidir. Bu nedenle, herhangi bir siber güvenlik programının ve girişimlerinin başarılı bir şekilde uygulanması için güçlü bir iş ve teknoloji anlayışı gereklidir.
