Germania a elaborat un catalog cu criteriile tehnice și standarde de securitate pentru furnizorii de tehnologie 5G și nu a exclus, din start, niciun operator

În ciuda presiunilor venite din Statele Unite pentru excluderea Huawei de la implementarea rețelelor 5G, Germania a elaborat un catalog cu criteriile tehnice și standarde de securitate pentru furnizorii de tehnologie 5G și nu a exclus, din start, niciun operator.

Legea germană în domeniul telecomunicațiilor stipulează foarte clar criteriile de evaluare a producătorilor, din punct de vedere tehnologic, promovând diversitatea și concurența, conține standarde de securitate, solicită certificarea componentelor infrastructurii și stipulează funcțiile cheie ale unei rețele telecom, potrivit specialiștilor din industrie.

Pe 11 august, Agenția Federală pentru Rețele (Bundesnetzagentur) a pus în dezbatere o propunere privind standardele de securitate. 

„Standardul de comunicare mobilă 5G este o bază tehnologică esențială pentru o digitalizare reușită. O condiție prealabilă este realizarea unui echilibru corect al securității informațiilor, ca parte a unui management complet al riscurilor. În acest scop, noi – în calitate de autoritate federală de securitate cibernetică – am creat noul catalog de securitate împreună cu Bundesnetzagentur și cu comisarul federal pentru protecția datelor și ne-am asigurat că rețelele 5G moderne, puternice și sigure pot fi instalate și operate”, a spus Arne Schönbohm, Președinte al BSI (Oficiul Federal pentru Securitatea Informației).

„Este important să protejăm integritatea sistemelor de informații și comunicații împotriva amenințărilor și să creăm cele mai înalte standarde de securitate. Pentru a face acest lucru, funcțiile critice pentru rețelele și serviciile de telecomunicații ar trebui să aibă un nivel de protecție deosebit de ridicat ”, a declarat Dr. Wilhelm Eschweiler, vicepreședinte al Agenției Federale pentru Rețele.

Catalogul cerințelor de securitate se aplică operatorilor rețelelor de telecomunicații și sistemelor de prelucrare a datelor și pentru prelucrarea datelor cu caracter personal.

Catalogul prevede în mod special:

-componente critice care trebuie certificate;

– declarații de încredere care trebuie obținute de la producători și furnizori de sistem;

– integritatea produsului trebuie asigurată;

– monitorizarea securității urmează să fie introdusă;

– în zonele legate de securitate, să fie angajat numai personal instruit și calificat;

– disponibilitate suficientă;

– evitarea monoculturilor.

Agenția a inițiat o consultare pentru a redacta o listă de funcții critice.

Catalogul conține cerințe suplimentare de securitate pentru rețelele și serviciile publice de telecomunicații cu un nivel ridicat de risc. În acest context, trebuie creată o listă de funcții critice pentru infrastructurile cu un nivel ridicat de risc. Aceste funcții critice vor fi listate într-un document întocmit în comun cu BSI.

În viitor, lista funcțiilor critice urmează să fie actualizată și modificată continuu. Au fost și sunt luate în considerare rezultatele analizelor internaționale, de exemplu de la Agenția pentru Cibersecuritate a Uniunii Europene (ENISA) sau ale Organismului de reglementare europeană pentru comunicații electronice (BEREC).

Următoarele funcții sunt considerate critice:

• gestionarea abonaților și mecanisme criptografice
• interfețe de rețea încrucișate
• servicii de retea administrate
• Funcții de rețea Managementul virtualizării și Orchestrarea rețelei (MANO)
• sisteme de management și alte sisteme de asistență
• controlul transportului și al fluxului de informații
• interceptarea legală.

Încă de anul trecut, oficialii guvernamentali au confirmat că așa-numitul catalog de securitate din Germania prevede o evaluare a criteriilor tehnice și a altor criterii, dar că niciun singur vânzător nu ar fi interzis, pentru a crea condiții de concurență echitabile pentru furnizorii de echipamente 5G.

“Nu luăm o decizie preventivă de a interzice niciun actor sau vreo companie”, a declarat un purtător de cuvânt al guvernului german, Steffen Seibert, la o conferință de presă la Berlin, potrivit Reuters.

Declarația viza compania Huawei, în condițiile presiunilor pentru exluderea acesteia din partea SUA.

Operatorii germani sunt clienți ai Huawei și au avertizat că interzicerea vânzătorului chinez ar adăuga ani de întârzieri și miliarde de dolari în costuri pentru lansarea rețelelor 5G.

Conform regulii, vânzătorii ar trebui să fie certificați ca fiind “de încredere”, oferind clienților posibilitatea legală de a-i exclude și de a solicita daune în cazul în care se constată că echipamentul a fost folosit pentru spionaj sau sabotaj.

Între timp, certificarea echipamentelor critice ar trebui obținută de la autoritatea germană de securitate cibernetică, Oficiul Federal pentru Securitatea Informațiilor (BSI).

Agenția Federală pentru Rețele (Bundesnetzagentur) recomandă ca, la construcția de rețele de comunicații, să se evite “structurile unice”, utilizând componente de rețea și de sistem de la diferiți producători. Prin urmare, cel puțin două componente sau sisteme ale diferiților producători sunt utilizate în rețeaua centrală, în rețeaua de transport și în rețeaua de acces (rețea de acces radio/rețea de acces prin cablu), cu excepția cazului în care operatorul rețelei mobile utilizează o componentă sau un sistem autodezvoltat. Acestea ar trebui să fie independente unele de altele și să nu depindă în mod egal de terți.

Standardele pentru furnizorii de încredere sunt:

1. Sursa de aprovizionare promite să lucreze îndeaproape cu clientul în domeniul tehnologiei de securitate, în special pentru a informa clientul cu privire la noile produse, noile tehnologii și actualizările liniilor de produse existente în timp util.
2. Sursa de furnizare garantează că nu va transmite informații despre relația sa contractuală cu Utilizatorul sau cu oricare dintre instituțiile Utilizatorului către terți.
3. Sursa de aprovizionare se angajează să se asigure, prin măsuri organizatorice și juridice, că informațiile confidențiale ale utilizatorilor sau ale utilizatorilor nu vor fi transferate în străinătate sau achiziționate de agenții străine, fie din proprie inițiativă, fie de către terți.
4. Sursa de aprovizionare garantează că nu va transmite, din punct de vedere legal și de fapt, informații confidențiale despre utilizator sau informații confidențiale despre utilizator unei terțe părți. În special, nu există nicio obligație de a divulga sau de a pune la dispoziția terților astfel de informații în momentul depunerii declarației. Prezentul articol nu se aplică în cazul în care există o obligație legală de divulgare pentru a servi scopurilor investigațiilor penale, cu excepția cazului în care o astfel de obligație de divulgare se aplică agențiilor străine de informații sau de securitate. În caz de incertitudine, sursa de furnizare își specifică obligațiile legale de informare înainte de depunerea declarației.
5. Sursa de aprovizionare se angajează să notifice utilizatorul în scris imediat atunci când nu este în măsură să garanteze respectarea în continuare a obligației declarate, în special atunci când apare sau este identificată o necesitate sau o altă obligație care îl poate împiedica să respecte obligația declarată.
6. Sursa de aprovizionare se angajează să furnizeze informații specifice cu privire la dezvoltarea produsului componentelor sistemului de securitate ale produselor sale în urma unei anchete.
7. Sursa de aprovizionare se angajează să investească numai personal de mare încredere în dezvoltarea și producția de componente critice ale sistemului de securitate.
8. Declarația privind sursa de aprovizionare este de acord să aprobe și să sprijine pe deplin inspecția de securitate și analiza de penetrare a produselor sale, în măsura în care este necesar.
9. Sursa de furnizare garantează că produsele sale declarate nu conțin vulnerabilități instalate în mod deliberat și nu le vor instala ulterior și că toate vulnerabilitățile neintenționate cunoscute au fost remediate sau vor fi remediate în viitorul apropiat și vor fi eliminate imediat.
10. Sursa de aprovizionare se angajează să notifice imediat utilizatorul cu privire la orice vulnerabilități sau manipulări cunoscute și nou cunoscute, astfel încât să se poată lua măsuri timpurii pentru a limita și elimina posibilele consecințe ale defectelor de calitate. În cazul în care un producător obține informații care pot afecta siguranța și funcționalitatea produselor sale sau pot afecta buna funcționare a produselor, informațiile sunt comunicate imediat utilizatorului. În plus, producătorul promite să ofere recomandări de soluție imediată.
11. Sursa de aprovizionare declară dacă și asigură în mod adecvat că componentele critice nu au caracteristici tehnice care ar putea avea un impact abuziv asupra securității, integrității, disponibilității sau funcționalității infrastructurii critice (de exemplu, prin sabotaj, spionaj).

Îa România, este în dezbatere proiectului de lege privind adoptarea unor măsuri referitoare la infrastructuri informatice și de comunicații de interes național şi condiţiile implementării rețelelor 5G.

Proiectul urmărește stabilirea unui mecanism de autorizare prealabilă a producătorilor de tehnologii, echipamente și programe software utilizate în cadrul infrastructurilor informatice şi de comunicaţii de interes naţional, precum şi în reţelele de comunicaţii electronice prin intermediul cărora se asigură servicii de comunicaţii electronice de tip 5G, fiind urmărite considerente ce țin de eliminarea oricăror riscuri la adresa securității naționale și apărării naționale. Prin măsurile propuse se urmăreşte reducerea riscurilor la adresa securităţii naţionale şi apărării naţionale prin instituirea unui regim de autorizare a producătorilor de tehnologii, echipamente și programe software destinate utilizării în cadrul infrastructurilor informatice şi de comunicaţii de interes naţional, precum şi în reţelele de comunicaţii electronice prin intermediul cărora se asigură servicii de comunicaţii electronice de tip 5G.

Prin proiect se propune ca autorizarea să fie acordată prin decizie a Prim-Ministrului, după avizul conform al Consiliului Suprem de Apărare al Țării (CSAT), fiind luat în considerare rolul stabilit prin Legea nr. 415/2002 privind organizarea și funcționarea Consiliului Suprem de Apărare al Țării.