LTE i Forsvaret - sårbarheter knyttet til ulike forretningsmodeller

Abstract

LTE (Long Term Evolution) er en kommersiell 4G bredbåndsteknologi som har blitt svært utbredt. Rapporten omhandler sikkerhet ved bruk av LTE i Forsvaret. Den gir en oversikt over risikoområder som bør studeres nærmere, og som beslutningstakere bør ha et forhold til. I tillegg er rapporten ment som et rammeverk for videre diskusjoner knyttet til sikkerhet og sårbarhet ved bruk av LTE i Forsvaret. Forsvaret har behov for interoperabilitet, båndbredde og kostnadseffektive løsninger for å dekke sitt kommunikasjonsbehov. Følgelig er det naturlig å vurdere kommersielle løsninger som LTE for militær bruk. Dette diskuteres både i Norge og i andre land. Teknologien er lett tilgjengelig, utbredelsen er stor og standardene er åpne og drives fram av teleorganisasjoner og kommersielle aktører. Brukerenhetene er rimelige, men det kreves en svært stor investering i infrastruktur dersom Forsvaret selv skal bygge ut et eget riksdekkende nett. Både utbygging av basestasjoner og tilgang til frekvenser representerer en stor kostnad. Det er derfor nærliggende å vurdere avtaler med kommersielle operatører om tilgang til deres infrastrukturer. Det finnes flere forretningsmodeller – alt fra at nettet i sin helhet opereres av den kommersielle aktøren til at Forsvaret selv er en mobil operatør med egne basestasjoner. Forretningsmodellene medfører forskjellige grader av sårbarhet. Rapporten gir først en oversikt over LTE-arkitekturen og hvilken sikkerhet som ligger innebygget i standarden. For å kunne vurdere sårbarhet i ulike forretningsmodeller er det nødvendig å definere hvilke verdier som trenger beskyttelse. Rapporten skiller mellom verdiene brukerdata, informasjon om brukeren, samt nettverkstilgjengelighet. Rapporten illustrerer generiske sårbarheter ved ulike forretningsmodeller. En endelig vurdering vil i tillegg kreve at det tas hensyn til hvordan LTE ønskes brukt i Forsvaret. Som en ren erstatning for dagens mobiltelefoniløsning vil noen av modellene kunne gi lavere sårbarhet enn dagens situasjon. Hvis derimot LTE skal anvendes på nye områder, må sikkerheten også vurderes opp mot de konkrete kravene i anvendelsen. Det er således viktig for Forsvaret å avklare hvordan LTE eventuelt skal anvendes. Alle forretningsmodellene har fordeler og ulemper. Gjennomgangen viser at kontroll over basestasjoner har stor innvirkning på sikkerheten. Generelt vil sårbarheten også øke ved roaming.

LTE is a widely used commercial 4G broadband technology. The report elaborates on security issues concerning military use of Long Term Evolution (LTE). It provides an overview of risk areas that should be studied more closely, and that decision makers should be aware of. The report is in addition intended as a framework for further discussions on security and vulnerability related to the use of LTE in the Armed Forces. The armed forces need interoperability, bandwidth and cost effective solutions to fulfil their communication needs. Accordingly, it is natural to consider commercial solutions such as LTE for military use. This is discussed both in Norway and in other countries. The technology is readily available, the standards are open and maintained by telecommunications organizations and commercial actors, and the prevalence is great. User devices are affordable. However, it requires a very large investment in infrastructure for the Norwegian Armed Forces to build its own nationwide network. Both base stations and access to frequencies represent a major cost. Consequently, it is natural to consider cooperation with commercial telecommunication providers and access to existing infrastructure. There are several possible business models – ranging from solutions fully delivered by the commercial operator to solutions where the Norwegian Armed Forces own the network themselves and act as a mobile network operator. Different business models represent different degrees of vulnerability. The report first gives an overview of the LTE architecture and the security built into the standard. In order to be able to assess the vulnerability of the various business models, it is necessary to define the values that need protection. The report distinguishes between the values user data, information about the user, and network availability. The report seeks to illustrate generic security implications of different business models. A final assessment will also have to include the intended use of LTE in the Armed Forces. As a pure replacement for today's mobile telephony solution, some of the models could be less vulnerable than the current situation. However, if LTE is to be used in new areas, security cannot be evaluated without taking the specific requirements for these applications into consideration. All business models have advantages and disadvantages. The review shows that control of base stations have a major impact on security. The vulnerability also increases when roaming is included.