Op 11 november werd de publieke consultatie van de Regeling veiligheid en integriteit telecommunicatie gepubliceerd. Op Internetconsultatie.nl wordt het initiatief voor netwerkoperators onder 'Organisatie en beleid' weggestopt. Na ruim een maand verschijnen er de laatste drie dagen voor sluiting opeens vijf reacties. Meest opmerkelijk is die van T-Mobile, die hard van leer trekt tegen de voorstellen en de totstandkoming ervan.
In de toelichting op de conceptregeling staat vermeld dat de (huidige) netwerkaanbieders nauw betrokken zijn geweest bij de totstandkoming van de voorgestelde en nu aan te passen beheersmaatregelen en ze daarmee in beginsel zouden moeten aansluiten op de huidige praktijk. En daar wringt al de schoen.
Iedereen in telecomland is nog naarstig op zoek naar hoe de operationele architectuur en implementatie van de toekomstige 5G-netwerken eruit zal gaan zien. De conceptregeling bevat de door TNO in samenwerking met de huidige netwerkoperators opgestelde aanvullende beheer- en technische maatregelen die aanbieders van mobiele telecommunicatienetwerken dienen te treffen ter beveiliging van hun netwerk, lezen we in eerste instantie. TNO is natuurlijk slim genoeg om daarbij te constateren dat de aanvullende regels verdere ontwikkelingen in techniek en doorontwikkeling van 5G-netwerken niet in de weg mogen staan.
Een-tweetje tussen overheid en bestaande operators
Een regeling die zich baseert op de beheerpraktijk en beveiliging van de huidige incumbents in Nederland met hun (straks legacy) 2-4G-netwerken en nog niet op 5G use-cases toegesneden business- en organisatiemodellen, beperkt de kansen van eventuele nieuwkomers zonder deze legacy bij de komende spectrumveilingen en mogelijk ook aanbieders van edge-locaties. En hoe moet het met de drie beschikbare vergunningen voor installaties ter zee in de 700 MHz-band, die Agentschap Telecom op dit moment aan het verdelen is en ook dit wel heel eenzijdig op de huidige bezitters van commercieel spectrum toegesneden proces onverhoopt toch tot een veiling leidt? Dienen deze vergunninghouders en hun leveranciers en operationele partners straks ook aanvullende maatregelen te treffen, terwijl ze van te voren bij het bieden niet eens weten welke onderdelen van hun netwerk departementaal vertrouwelijk als kritiek worden beschouwd en op welk moment dit eventueel wijzigt?
Core-netwerk in de cloud beheren zonder internettoegang?
In de VS kondigt de ene na de ander mobiele-telecomoperator een samenwerkingsverband met een Amazon of Microsoft aan, om zijn 5G-corenetwerk (deels) bij AWS of Azure in de cloud onder te brengen. IBM (lees: met name Redhat) doet ook al flink mee. Maar hier in Nederland stellen we anno 2020 regeltjes op die gebaseerd zijn op de bevindingen van een Taskforce Economische Veiligheid bij de huidige incumbents, die volgens Telecompaper net voor een schijntje spectrum hebben verworven om 5G in Nederland te gaan uitrollen. Economen en bedrijfskundigen jurist laten spelen en regels laten opstellen voor technologie is vragen om moeilijkheden, zo blijkt ook hier wel weer. Een van de eisen is dat de werkstations voor intern beheer van de mobiele netwerken geen toegang tot openbare communicatienetwerken en -diensten mogen hebben. Dat wordt dan straks wel lastig als je corenetwerk grotendeels bij een hyperscaler is ondergebracht. Op dit moment worden wereldwijd in toenemende mate ook al de 4G-radionetwerken gedisaggregeerd en met OpenRAN ‘gecloudificeerd’. Nu gebeurt dat nog met name vanwege energiebesparing, hogere schaalbaarheid en betere beheermogelijkheden. Maar er zullen straks ook steeds meer 5G-c(ore)n(etwerk) functies naar de edge verhuizen en hoe kijkt de taskforce dan aan tegen een neutral host die zowel publieke als private mobiele netwerken bedient? Is dat slechts ‘aanpalend’ en dan maar meteen per definitie ontheffing geven? Het securitymodel bij 5G is nu juist end-to-end, bovendien. Maar in de concept regeling bestaat deze zeker al in 2022 noodzakelijke werkelijkheid nog helemaal niet en wordt vooral veel aandacht besteed aan het voor beveiliging in stand houden van een zwak beveiligingsprotocol tot 2023 als 3DES (TDES). In OpenSSL wordt het default al niet meer gebruikt sinds 2016 en Microsoft nam er voor applicaties als Outlook en OneNote in 2018 afscheid van. Maar voor de beveiliging van onze openbare netwerken kan het volgens de taskforce nog wel een paar jaar mee. Tot de huidige netwerkconfiguratie bij een of misschien twee van de huidige operators is afgeschreven, lijkt het op.
Gebruik algemeen aanvaarde en open standaarden
ISOC Nederland geeft als reactie dat de voorgestelde maatregelen willekeurig gekozen lijken en te vaag en algemeen omschreven. Dit leidt alleen maar tot schijnzekerheid. Ook wordt aanbevolen om de gebruikelijke fasering en terminologie zoals het NIST die hanteert, toe te passen. Die kritiek sluit aan op het advies van Nokia, dat Europees afgestemde en uiteindelijk ook gecertificeerde technische beveiligingsmaatregelen aanbeveelt en de toepassing van wereldwijd geaccepteerde security-by-design principes, zoals die van de GSMA. Ook Huawei, dat geheel in stijl van de Chinese tradities nog wel beleefd begint om haar waardering uit te spreken voor ‘de huidige op feiten gebaseerde benadering’, wil haar inzichten graag delen en beveelt aan Europese certificering leidend te maken. T-Mobile gaat echter nog een stuk verder en veegt de vloer aan met de voorgestelde maatregelen in de concept-regeling. Waar ISOC zich nog afvraagt of ze rechtvaardig zijn, betwijfelt T-Mobile openlijk of wanneer zo’n kikkerlandje eigen standaarden voor beveiliging gaat verzinnen, het afwentelen van de kosten op de operators wel rechtmatig is. Zelf denken ze met de vigerende securitymaatregelen vanuit hun wereldwijd opererende moederbedrijf prima en volgens internationaal geaccepteerde best practices en open standaarden de security op orde te hebben en vrezen nu dat deze voorgestelde regeling samen met de vele geboden ontheffingsmogelijkheden tot concurrentievervalsing leidt.
Eigenzinnig kwakkelwerk
Doelstellingen en toetsingskader ontbreken en als klant hanteert de overheid andere security normen en kaders dan als toezichthouder, constateert T-Mobile ook nog. De door TNO ontwikkelde risicoanalyse is bovendien helemaal geen risicoanalyse, maar een dreigingsanalyse die niet transparant wordt uitgevoerd en er wordt onvoldoende gemotiveerd waarom de overheid hier afwijkt van haar open standaarden beleid. Kortom: waarom dit gepruts dat alleen maar leidt tot onnodige extra kosten die uiteindelijk toch aan de eindgebruikers in rekening zal worden gebracht? Ook de andere reacties op deze regeling komen er op neer dat de Nederlandse overheid zich behoorlijk blameert met dit kwakkelwerk, dat voor vele jaren als regelgeving op securitygebied moet doorgaan.
De andere mobiele operators vinden de concept-regeling blijkbaar wel in orde zo of zien ontheffingsmogelijkheden zat. Het lijkt zo op een van te voren voorziene wassen neus, deze regeling. 5G gaat bovendien toch pas na 2022 extra snelheid opleveren en echt flink hogere capaciteiten en een andere netwerkarchitectuur eisen, als de 3,5 GHz geveild is en wie dan leeft, dan zorgt. Natuurlijk dekt men zich in de regeling deels wel in, met een zin als ‘het kan ook betekenen dat als gevolg van innovatie en nieuwe technieken alternatieve uitvoeringswijzen mogelijk beter passend kunnen worden. Indien op een gegeven moment de indruk bestaat dat bepaalde implementatievereisten niet meer goed passend zijn als gevolg van nieuwe technologische ontwikkelingen, kan op den duur ook overwogen worden de regeling aan te passen’. Wat een onzin! Iedereen kan aan zien komen, dat voordat deze regeling van kracht is geworden, hij allang weer aangepast dient te worden aan die technologische ontwikkelingen. T-Mobile fulmineert terecht tegen het statische karakter van de regeling.
De taskforce, TNO en regeltjesmakers houden voorlopig werk zat zo. Maar vernieuwende startups en andere nieuwkomers, nieuwe verdien- en business modellen, edge en netwerkdienstverleners en maritieme telecom niche-spelers en andere innovatieve MSP’s krijgen zo minder kans in Nederland. En een al actieve MNO die denkt alles al goed voor elkaar te hebben, is verontwaardigd en voorziet dat dit prutswerk van de overheid in ieder geval tot nog meer vertraging leidt, als ze er al ooit komen en de aanvullende regels van kracht worden. Deze operator is dan ook niet van plan er werk van te maken na twee jaar tevergeefs aandringen op iets dat wel zin heeft in haar ogen, maar nooit getoetst werd door de taskforce. De ontwikkeling van een gezond ecosysteem voor moderne telecommunicatienetwerken in Nederland is hier dus bepaald niet mee gediend, is mijn conclusie.