Sikkerhetsutfordringer i fremtidens EKOM-tjenester

Abstract

Denne rapporten beskriver viktige trender innen digitale verdikjeder og sikkerhetsmessige konsekvenser for virksomheter og samfunnet. Tidsrammen er satt til fem år. Bakgrunnen for rapporten er at Nasjonal sikkerhetsmyndighet (NSM) har bedt Forsvarets forskningsinstitutt (FFI) om å utarbeide en slik trendanalyse. Utvalget er basert på hvilke trender vi mener vil medføre større endringer i hvordan samfunnet, virksomheter eller tjenesteleverandører kan eller må tenke sikkerhet og robusthet på. Disse trendene vil ikke nødvendigvis få størst kommersiell utbredelse. Rapporten beskriver fem hovedtrender: Virtualisering medfører at funksjonalitet flyttes fra maskinvare til programvare, noe som blant annet gjør det enklere å rulle ut nye tjenester og funksjonalitet. Virtualisering er allerede mye brukt innenfor skytjenester, men i de kommende årene vil virtualisering av nettverksfunksjoner bli et nytt anvendelsesområde. Dette vil føre til at bedrifter og forvaltning må tenke annerledes om sikkerhet i sine nettverk. Virtualisering vil også muliggjøre helt nye konsepter og løsninger for helhetlig drift og vedlikehold av IKT-infrastrukturen. Neste generasjon mobiltelefoni, 5G, vil ikke bare gi høyere datakapasitet til brukerne, men også tilby tjenester for maskin-til-maskin-kommunikasjon (Machine-Type Communications, MTC). MTC inneholder de to hovedretningene massiv MTC, også kjent som "Internet of Things", og kritisk MTC, som tilbyr robuste tjenester for bruk innen blant annet autonome systemer og helse. Relativt til dagens mobiltelefoni er det ventet at sikkerheten generelt vil blir bedre for kritisk MTC, men dårligere for massiv MTC. Kunstig intelligens og autonomi vil også innta datasentre og EKOM-sektoren. Virtualisering av nettverksfunksjoner er med på å gjøre dette mulig, i tillegg til at kompleksiteten i nettene vil bli så stor at det vil være nødvendig. Kunstig intelligens vil blant annet medføre ikkeverifiserbare systemer, som vil utfordre dagens regime for sikkerhetsgodkjenning innen IKT. Komplekse digitale verdikjeder og markedsutvikling vil gjøre det enda vanskeligere å holde oversikt over avhengighetene mellom de tjenestene som brukerne ser, og de underliggende infrastrukturene som støtter opp under disse tjenestene. Dette vil blant annet gjøre det vanskelig å ha kontroll med hvor personlig informasjon havner. I tillegg vil stadig flere brukere benytte tjenester fra store internasjonale selskaper, som ikke nødvendigvis er regulert av norsk lovverk. Tillitsskapende teknologier som blockchain og automatiserte sikkerhetsoppdateringer sammen med økt fokus på personvern vil redusere utilsiktet spredning av personlig informasjon og gjøre det enklere å oppnå tillit under transaksjoner. Samtidig ser vi at store aktører som Google og Facebook sitter på svært mye informasjon, og at denne informasjonsinnsamlingen vil øke. Mange av de nye teknologiene vi ser komme, kan kobles til flere ulike trender og motsatt. Det har derfor vært en utfordring å sortere og strukturere innholdet.

This report describes important trends related to digital chains of values related to electronic communications and the security impact of these trends, with a time horizon of five years. The choice of trends is based on which trends we expect to change how the society, business sector and service providers need to think about security, and not necessarily on which trends will have the most commercial prevalence. The report describes five trends. Virtualization is the enabling technology of cloud services. In the near future, virtualization will also change how communications services and networks are implemented. This will change how service providers need to design and implement security within communications networks. Virtualization will enable new concepts for management and orchestration of communication networks. Next generation mobile technology - 5G - will, in addition to higher data capacity, also offer service for Machine-Type Communications (MTC). MTC covers the two areas Massive MTC, also known as the Internet of Things, and Critical MTC, which offers robust services for e.g. autonomous systems and within heath care. We expect that security for critical MTC will be on the same level or higher than the current 4G security mechanisms. Massive MTC will have lower security than existing technologies. Artificial intelligence and autonomous system will enter the domains of data centers and communications service providers. Virtualization of network functions is the key enabler for these technologies. In addition, the complexity of modern IT infrastructures is so high that utilizing artificial intelligence is necessary. Artificial intelligence will lead to non-verifiable systems, which will challenge the current regime for security approval. The market situation and complex digital value chains will make it even more difficult to understand and know the dependencies between the user-facing services and underlying IT infrastructures. It is difficult to keep control over personal information. In addition, users will use services from large international service providers that are not regulated by Norwegian law. Trust-enabling technologies like blockchain and automatic security updates, together with higher focus on protection of personal information, will reduce the chance of unwillingly spreading personal information. At the same time, large companies like Google and Facebook will continue to gather large amount of personal information. There were great challenges in sorting and structuring the content in this report since several of the emerging technologies drives different trends. There is not a one-to-one mapping between the underlying technology development and the usage of the technologies.