Standarde internaționale de securitate cibernetică ce ar putea fi folosite și în România
Proiectul de lege pentru implementarea 5G nu a mai înaintat de la ultimele dezbateri. Dar acum, ANCOM are un nou președinte în funcțiune, în persoana lui Vlad Stoica, iar Ministerul Transporturilor, Comunicațiilor și Infrastructurii (MTCI), inițiatorul proiectului de lege, ar putea discuta pe marginea lui cu actorii implicați.
Adoptarea Memorandumului cu SUA nu ar trebui să fie o problemă. Chiar în varianta deja văzută, în care sunt stabilite regulile de transparență necesare pentru furnizorii de echipamente, Memorandumul poate fi adoptat. Legea de implementare trebuie să fie însă mult mai detaliată și nu să se oprească la aceste reguli.
După cum au arătat actorii implicați în industrie, inclusiv Asociația Operatorilor Mobili din România, care reunește companii precum Orange, Vodafone și Telekom, legea ar trebui să stabilească și regulile tehnice puse la punct de Uniunea Europeană.
În prezent, nici varianta modificată a proiectului de lege nu adresează niciun fel de cerințe tehnice, ci doar reglementează o procedură de autorizare pe criterii non-tehnice, care sunt ambigue și nu includ măsurile strategice prevăzute în setul de instrumente UE pentru securitatea rețelelor 5G.
Clarificările sunt necesare pentru ca operatorii să își poată stabili bugetele pentru anul viitor. În condițiile în care nu se cunosc nici sumele necesare pentru cumpărarea licențelor și nici costurile aferente investițiilor necesare în echipamente 5G (sau chiar în schimbarea echipamentelor 3G și 4G), operatorii mobili se văd în imposibilitatea de a stabili un plan detaliat pentru 2021.
Securitatea cibernetică
Este important de înțeles că securitatea cibernetică, inclusiv pentru comunicații 5G, va fi întotdeauna o problemă, indiferent de cine este furnizorul echipamentului. De aceea, securitatea trebuie adresată în ansamblu, cu reguli clare, menite să acopere vulnerabilitățile inerente oricărui sistem.
Un exemplu de standarde internaționale care pot fi adoptate de orice stat din lume sunt cele ale GSMA și 3GPP, Network Equipment Security Assurance Scheme (NESAS), un mecanism standardizat de securitate cibernetică creat de GSMA și 3GPP împreună cu operatori de telecomunicații din toată lumea, cu parteneri din industrie și autorități de reglementare. Pune la dispoziție industriei un cadru de standard de certificare ce poate facilita îmbunătățirea securității în toată industria de telecomunicații.
Este o standard de securitate la care se aplică voluntar și prin care furnizorii de echipamente pot certifica produsele dezvoltate și ciclul de viață al acestora printr-un audit comprehensiv de securitate bazat pe cele mai noi standarde ale NESAS.
GSMA NESAS, care este acceptat de întreaga industrie, asigură că echipamentele furnizate respectă Schema 5G de securitate a rețelelor. Procesul integrat de verificare asigură și transparența nivelurilor de securitate prin rezultate măsurabile. NESAS acoperă 20 de categorii ce definesc regulile de securitate și verifică cadrul de dezvoltare al 5G și a ciclului de viață al produselor. În plus, utilizează testele predefinite de securitate ale 3GPP pentru a verifica securitatea echipamentelor din rețea.
Producătorii deja autorizați de GSMA sunt Huawei, cu două standarde verificate, Nokia Solutions, Ericsson și ZTE Corporation. Cu alte cuvinte, toți furnizorii au aderat la Schema 5G și standardele de securitate și au primit deja certificatul din partea GSMA.
Echipamentele 5G de rețea de comunicații de date și cele wireless (5G RAN, gNodeB, 5G Core, UDG, UDM, UNC, UPCF) ale Huawei au fost certificate GSMA Network Equipment Security Assurance Scheme (NESAS). Huawei a primit certificările în martie și mai 2020, Nokia în mai 2020, Ericsson în iunie 2020, iar ZTE în iulie 2020.
GSMA este o asociație independentă care reprezintă interesele operatorilor mobili din întreaga lume. Reunește peste 750 de operatori din 400 de companii, inclusiv producători de hardware sau software. GSMA este, totodată, compania care organizează cel mai mare eveniment anual dedicat industriei de comunicații, Mobile World Congress, care se ține la Barcelona, Los Angeles și Shanghai.
Utilizarea standardelor NESAS în legislație ar fi normală pentru România și ar rezolva o parte a problemelor tehnice care lipsesc din proiectul de lege 5G. Ar și accelera adoptarea legii necesare pentru pornirea licitației pentru noi spectre de frecvență, licitația care trebuie să se țină cât mai repede pentru a nu întârzia și mai mult dezvoltarea ecosistemelor 5G.
Măsurile UE
Măsurile tehnice stabilite de UE Prin Toolbox-ul adoptat sunt următoarele:
- Asigurarea aplicării cerințelor de securitate de bază (proiectare securizată a rețelei și arhitectură);
- Asigurarea și evaluarea implementării măsurilor de securitate în standardele 5G existente;
- Asigurarea unor controale stricte de acces;
- Creșterea securității funcțiilor de rețea virtualizate;
- Asigurarea gestionării, funcționării și monitorizării securizate a rețelei 5G;
- Consolidarea securității fizice;
- Consolidarea integrității software-ului, actualizarea și gestionarea patch-urilor;
- Creșterea standardelor de securitate în procesele furnizorilor prin condiții de achiziție sigure;
- Utilizarea certificării UE pentru componentele rețelei 5G, echipamentele clienților și / sau furnizorii de echipamente;
- Utilizarea certificării UE pentru alte tehnologii informaționale și de comunicații care nu sunt specifice 5G, produse și servicii (dispozitive conectate, servicii cloud);
- Consolidarea planurilor de rezistență și continuitate.
Dacă autoritățile române vor reuși să depășească factorul politic implicat în lege 5G, atunci proiectul de lege și licitația ar putea fi rezolvate rapid. Și cu cât mai repede se întâmplă acest lucru, cu atât mai bine pentru industrie, pentru bugetul de stat, pentru economie.