Modelul german de legislaţie telecom 5G/Securitate Cibernetică ar putea scoate România din impasul actual; Iată câteva puncte cheie

2.297 ori
<b>Modelul german de legislaţie telecom 5G/Securitate Cibernetică ar putea scoate România din impasul actual; Iată câteva puncte cheie</b>Am scris de câteva ori în ultimele zile despre acel proiect de lege scos pe repede înainte de autorităţile locale, cel care se referă la aprobarea companiilor care dezvoltă echipamente 5G

Am scris de câteva ori în ultimele zile despre acel proiect de lege scos pe repede înainte de autorităţile locale, cel care se referă la aprobarea companiilor care dezvoltă echipamente 5G. Am oferit şi câteva sugestii şi idei care ar putea ajuta la scrierea unei legislaţii mai coerente. Nu trebuie totuşi să reinventăm roata, ci e de ajuns să ne uităm la alte ţări UE, care au deja o legislaţie bine pusă la punct. Germania spre exemplu are o lege a Telecomunicaţiilor şi a Securităţii Cibernetice bine structurată, care acoperă şi chestiunea 5G.

Pe scurt

Legea Germană cu privire la Telecomunicaţii stipulează criterii de evaluare pentru producătorii de echipament din punct de vedere tehnologic. Se pune accent pe diversitate, astfel că mai mulţi producători ar trebui să contribuie la dezvoltarea infrastructurii. Este menţionat şi un standard de respectat pentru furnizorii de încredere, dar şi certificarea componentelor infrastructurii, plus funcţiile cheie ale unei reţele telecom.

Care e situaţia în Germania versus România

Proiectul legislativ al Germaniei cu privire la tehnologia 5G a fost publicat pe 11 august şi se va afla în dezbatere până pe 30 septembrie. A se remarca faptul că la noi termenul de dezbatere este mai mic, între 4 august şi 17 august. Experţi din industrie au sugerat, aşa cum am mai amintit o perioadă de o lună şi jumătate, poate chiar 2 luni pentru dezbatere şi analiza.

Diversitate

În documente se stipulează clar Diversitatea ca un criteriu important. Iată un citat:

"Atunci când planificați și construiți rețele de comunicații, evitați "structurile unice" utilizând componente de rețea și de sistem de la diferiți producători. Prin urmare, cel puțin două componente sau sisteme ale diferiților producători sunt utilizate în rețeaua centrală (coloana vertebrală și rețeaua centrală), în rețeaua de transport și în rețeaua de acces (rețea de acces radio/rețea de acces prin cablu), cu excepția cazului în care operatorul rețelei mobile utilizează o componentă sau un sistem autodezvoltat."

Se discută şi despre standardele deschide, cum ar fi Open RAN şi la obligativitatea ca reţeaua unei ţări să nu depindă de un singur furnizor de componente cheie. Trebuie şi măsuri care să suplinească rapid un producător dacă el nu mai poate furniza componente.

Colaborare

Conform legii din Germania, sursa de aprovizionare trebuie să lucreze îndeaproape cu clientul în domeniul tehnologiei de securitate, informând clientul cu privire la noile produse, tehnologii şi actualizări. Trebuie garantat şi faptul că există o confidenţialitate totală fără de relaţia contractuală şi resurse. De asemenea trebuie oferită o garanţie clientului că informațiile sale şi ale utilizatorilor nu vor fi transferate în străinătate sau achiziţionate de agenţii străine sau de terţe părţi.

Aici personal aş include mereu un comitet intern de verificare, de la autorităţi. Excepţiile pentru divulgarea informațiilor utilizatorilor apar doar în situaţiile unei investigaţii penale, atunci când obligaţia divulgării este legală. Dacă se ajunge la nerespectarea termenilor, furnizorul trebuie să notifice clientul în scris, odată cu apariţia unei obligaţii sau presiuni externe.

Ar fi interesant dacă ar funcţiona din ambele părţi şi clientul ar anunţa furnizorul că e posibil să rămână fără contract, cum riscă să se întâmple acum în România.

Germanii mai menţionează şi testarea componentelor cu anchete amănunţite, dar şi angajarea de personal de mare încredere în dezvoltarea şi producţia de componente critice sistemului de securitate. Toate inspecţiile şi analizele de securitate trebuie să fie aprobate de partener/furnizor. Orice vulnerabilităţi sau manipulări posibile sau existente trebuie dezvăluite de către furnizor, putând compromite securitatea reţelei.

Evident este necesară şi o garanţie a actualizării produselor respective, încât să fie la zi cu cele mai înalte standarde de securitate.

Certificare

În Germania există BSI, Oficiul Federal pentru Securitatea Informațiilor, o autoritate naţională responsabilă cu certificarea securităţii informatice a componentelor critice. BSI se ocupă şi cu acreditarea naţională a agenţiilor de testare în cadrul naţional de certificare a securităţii IT. BSI, alături de Agenţia Federală a Reţelei va elabora şi publică orientări tehnice (TR) pentru reţele relevante.

E vorba despre cerinţe pentru componente cheie, mediu de utilizare, cerinţe de operare, toate de îndeplinit pentru a primi certificarea. Agenţia Federală a Reţelei şi BSI au elaborat deja un document care enumera funcţiile cheie ale reţelei de telecomunicații.

Iată un extras din document:

I. Componentele utilizate pentru implementarea funcțiilor cheie pot fi utilizate numai după ce testele de securitate INFORMATICĂ sunt efectuate de un organism de testare acreditat și certificate de un organism de certificare acreditat în conformitate cu Regulamentul (UE) nr.2019/881 (Cyber Security Act).

  • În absența unui cadru de certificare adecvat, operatorii de rețea și furnizorii de servicii obligați trebuie să ia temporar alte măsuri tehnice adecvate și alte măsuri pentru a evita riscurile atunci când se utilizează componente critice.
  • În cadrul de certificare a produsului, cerințele sunt adesea ridicate pentru mediul de utilizare sau pentru funcționarea în siguranță a produsului. Funcționarea în condiții de siguranță este garantată numai dacă sunt respectate cerințele din certificare său conform descrierii producătorului.

TR al BSI va specifica detaliile cerințelor de la 2.4, în special în ceea ce privește cadrul de certificare aplicabil.

II. Dispoziții:

  • Cerințele privind utilizarea componentelor cheie certificate se aplică următoarelor:
  • Componente activate după 31 decembrie 2025
  • Componente cheie activate după 31 decembrie 2025, aplicabile cerințelor de utilizare a componentelor cheie certificate de 2.4 Cod I.

Conformitatea cu legea germană/UE

Cerinţele de securitate sunt aliniate cu secțiunea 4, capitolul 109 din Legea privind telecomunicațiile din Germania TKG. Este amintit şi setul de recomandări UE cu privire la analiza reţelelor şi a riscurilor de securitate (Toolbox UE). La caracteristicile de securitate intră şi gestionarea cheilor utilizate în reţele, atât la nivel de autentificare între participanţi şi reţea, dar şi la nivel de mecanisme de criptare.

Criptarea bazată pe segmente este un exemplu, dar şi autentificarea între funcţiile de reţea. Funcţiile de securitate sunt gândite să protejeze serviciile şi reţelele mobile 5G şi au impact asupra utilizatorilor finali şi a terminalelor lor. În plus faţă de autentificare, procedurile de criptare sunt incluse în reţea. Alte categorii, segmente de rețea abordate în documente:

  • Categoria Interfață între rețele centralizează funcțiile și serviciile din interfața de rețea, ar fi comunicarea lină între rețele (roaming, comutare telefonică, transmiterea de date) de la o rețea mobilă la alta
  • Categoria Network Services include funcții de rețea care acoperă furnizarea de servicii și autorizarea accesului
  • Categoria NVF Management and Network Orchestration (MANO) și Virtualization includ funcții de gestionare a configurației și virtualizării rețelei. Orice deteriorare sau chiar deteriorare a acestor funcții poate avea un impact semnificativ asupra disponibilității sau integrității rețelei. Această categorie este relevantă numai dacă funcțiile cheie sunt implementate ca NVFs.
  • Categoria Management și Alte Sisteme de Suport centralizează toate funcțiile legate de gestionarea componentelor care implementează funcții critice.
  • Categoria Control flux de transport și informații include funcții care afectează transmisia vocală sau de date (de exemplu, rutarea marginilor/miezului, SMSC, IMC). Dacă o eroare va avea un impact semnificativ, atunci funcționalitatea acestei categorii este critică. Ruta de bază de calcul a muchiilor
  • Interceptarea legală este o procedură definită de lege și clasificată ca procedură-cheie. Orice manipulare în acest domeniu ar putea duce la compromiterea confidențialității și/sau integrității. Se consideră că cerințele de securitate pentru aceste funcții au fost pe deplin luate în considerare dacă dovezile necesare au fost prezentate autorității responsabile în temeiul articolului 110 alineatul (1) din Legea privind telecomunicațiile și dacă testele relevante au fost efectuate cu succes.

Concluzii

Observ că Germania are multiple organizaţii şi autorităţi, dar şi bază legală pentru a controla securitatea reţelei şi furnizorii de echipament. Proiectul de lege spune clar că infrastructura nu trebuie să depindă de un singur furnizor, că există cel puţin două autorităţi care verifică securitea (BSI şi Agenţia Federală a Reţelei), dar şi multiple norme de testare şi securizare a componentelor de reţea. 

La noi CERT-RO ar putea fi un fel de BSI şi ar trebui să lucreze cu ANCOM şi eventual un nou organism format din experţi în securitate, crema cremei de la noi pentru a verifica orice posibil backdoor la toate componentele tuturor furnizorilor de echipament, urmand o legislație nouă. Doar astfel se va putea selecta un partener pentru următorul deceniu de implementare 5G. Deceniu care va avea un impact uriaş asupra economiei autohtone, va crea zeci de mii de locuri de muncă şi va aduce o evoluţie la nivel de transporturi, agricultură, industrie, telecomunicaţii, medicină şi divertisment.

Urmărește-ne pe Google News
Salvează articolul
Acest site folosește cookies. Prin navigarea pe acest site, vă exprimați acordul asupra folosirii cookie-urilor. Citește mai mult×