De voordelen van NESAS: Network Equipment Security Assurance Scheme

De Nederlandse overheid beraadt zich op de vraag hoe kritische componenten in de netwerken veilig kunnen worden ingezet. Een van de mogelijke criteria daarvoor is het identificeren van een bepaalde leverancier als ‘High Risk Vendor’. Een dergelijke leverancier kan dan gedeeltelijk of geheel worden geweerd uit het 5G-netwerk. Huawei pleit voor een discussie hierover op basis van transparante, objectieve en meetbare criteria en pleit ervoor dat alle leveranciers aan dezelfde criteria worden onderworpen. NESAS biedt een certificeringsmodel waar Huawei groot voorstander van is. En met ons onder meer Deutsche Telekom, Vodafone (op groepsniveau), Ericsson en Nokia. Hieronder leest u waarom.

De komst van 5G brengt kansen en uitdagingen met zich mee. Nieuwe toepassingen, verdienmodellen en technologie leveren grote meerwaarde aan de Nederlandse economie, waarmee de koploperspositie van Nederland in het digitale domein verder zal worden versterkt. Daarbij is het noodzakelijk dat de veiligheid rondom 5G zoveel mogelijk gewaarborgd is.

Uiteraard snappen we dat de Nederlandse overheid goed zicht wil hebben op de kritische componenten in de netwerken. Daarom is het van belang dat besluiten worden genomen op basis van transparante, objectieve en meetbare criteria, geldend voor alle leveranciers. Zo kunnen we de discussie voeren aan de hand van feiten en niet op basis van angst en aannames.

Wat is NESAS?
NESAS (Network Equipment Security Assurance Scheme) biedt een certificeringsmodel waar wij groot voorstander van zijn, omdat het onafhankelijk is en brede steun heeft van een brede groep van partijen uit de wereldwijde telecommarkt.Het biedt grote meerwaarde voor Europa én dus ook voor Nederland. Overigens is Duitsland voortrekker van dit model binnen de Europese Unie.
Het NESAS-model is erop gericht om aan te tonen dat netwerkapparatuur voldoet aan een set van veiligheidseisen, door middel van onafhankelijke evaluaties en audits. Hierbij ontwikkelen leveranciers allereerst apparatuur met inachtneming van de gestelde veiligheidseisen (eigen verantwoordelijkheid) en moeten zij vervolgens aantonen dat de apparatuur inderdaad aan de door de GSMA en 3GPP gestelde standaarden voldoet. Of dit daadwerkelijk zo is, wordt extern getoetst door testlaboratoria en externe geaccrediteerde auditpartijen. De uitkomsten van deze tests worden gedocumenteerd en kunnen worden gedeeld met de telecomaanbieders die eventueel gebruik willen maken van deze apparatuur.

Het NESAS-model is door de sector zelf gedefinieerd, waarbij leveranciers er dus zelf voor kiezen om hun apparatuur intensief te laten testen en evalueren op veiligheid. Deze standaarden om veiligheid aan te tonen en te waarborgen heeft GSMA samen met 3GPP, leveranciers en telecomaanbieders ontwikkeld. Audits worden uitgevoerd door bedrijven die daartoe zijn geaccrediteerd door een accreditatie commissie van een land. In Nederland is dat de Raad van Accreditatie.

Voordelen voor de overheid en de sector
Uit de brede steun die er bestaat voor het NESAS-model, kan worden geconcludeerd dat er behoefte bestaat aan een uniforme Europese standaardiserings- en certificeringsstandaard. Het model brengt voor zowel overheden als de sector belangrijke voordelen met zich mee.

Een snelle uitrol van 5G is gebaat bij een discussie die gaat over feiten en meetbare indicatoren, zeker in relatie tot veiligheid. Het NESAS-model kan in deze behoefte voorzien, door het creëren van een veiligheidsstandaard die geheel op gebruikte techniek is gebaseerd. Hiermee is een objectieve, meetbare standaard gecreëerd.

Doordat de industrie dit model erkent en het model zich specifiek richt op telecom, is er de mogelijkheid om de standaard voortdurend te blijven ontwikkelen aan de hand van (nieuw ontwikkelde) techniek of technologie. Wanneer een technologische ontwikkeling een eventuele uitbreiding van het model nodig maakt, is dit ook mogelijk. Hiermee blijft de toepasbaarheid van het model en daarmee de veiligheid zo goed mogelijk gewaarborgd.

Op dit moment bestaan er al twee Europese auditbedrijven en zijn er ruim 10 testlaboratoriums opgetuigd om gebruik van het NESAS model mogelijk te maken. Deze capaciteit zal in de toekomst alleen maar verder toenemen, wat de toepasbaarheid van het model verder vergroot.

Het NESAS-model levert een basis waar vanuit moet worden bewezen dat onderdelen van een netwerk voldoen aan vastgestelde veiligheidsvoorschriften. Hierbij wordt uitgegaan van een ‘trust through verification’-benadering: veiligheid moet worden bewezen vanuit een uniform kader dat voor alle leveranciers geldt. Een gelijk speelveld voor alle leveranciers, ongeacht land van herkomst, wordt hiermee gegarandeerd.
Met behulp van externe, onafhankelijke auditors, objectieve criteria en onafhankelijke evaluatie wordt veiligheid getoetst en getest en kunnen leveranciers zelf bewijzen dat zij in staat zijn om al dan niet te voldoen aan de gestelde veiligheidseisen. Dit geeft de operators vervolgens het vertrouwen dat zij gebruik maken van bewezen veilige apparatuur en kunnen dit ook meenemen in eventuele aanbestedingen.

Kortom
De discussie over de veiligheid van 5G-netwerken is dynamisch, ook in Nederland. De gehele telecomsector ondervindt hinder van het feit dat de discussie over veiligheid van technologie wordt gedomineerd door argumenten die relateren aan geopolitiek. Het is daarom goed dat de telecomsector zelf het initiatief heeft genomen om te komen tot een objectief, onafhankelijk en meetbaar model, waarbij veiligheid van technologie bewezen moet worden. Het feit dat alle leveranciers die in Nederland een rol spelen in de aanleg van het 5G-netwerk het NESAS-model omarmen, laat zien dat er behoefte is aan een uniforme, meetbare veiligheidsstandaard die bij voorkeur voor de hele Europese Unie zal gelden. De Nederlandse overheid doet er goed aan om, in navolging van Duitsland, ook steun uit te spreken voor dit model als reactie op de 5G-Toolbox. Veiligheid van 5G wordt op die manier werkelijk een gezamenlijke verantwoordelijkheid, waarin overheden én technologiebedrijven gezamenlijk optrekken.

Door: Jaap Meijer, Chief Security Officer Huawei Nederland