În momentul de față, România nu a anunțat încă licitația pentru frecvențele 5G care vor permite operatorilor din România să-și dezvolte puternice rețele și oferte 5G atât pentru consumatorii casnici, cât și pentru afaceri. De asemenea, în momentul de față proiectul de lege prin care se dorește reglementarea rețelelor 5G nu a evoluat.

De la dezbaterea publică din 24 august până astăzi proiectul nu a făcut un avans considerabil și nici nu a fost modificat semnificativ, în afară de 2 septembrie, modificare disponibilă aici. Conform raportului Morgan Lewis, legea din România este influențată politic, iar faptul că furnizorii de echipamente vor fi nevoiți să primească aviz de la Ministerul Apărării lasă loc de o posibilă discriminare pe criterii politice.

În scrisoarea transmisă pe data de 17 august către MTIC, reprezentanții Asociației Operatorilor Mobili din România susțin că ”întregul proiect de lege se concentrează pe identificarea producătorilor de echipamente eligibili, mai degrabă decât pe concentrarea asupra abordării și identificării riscurilor de securitate independente de producătorul de echipamente, abordare susținută la nivelul UE”.

Așadar, abordarea pare a fi una în care se stabilesc interdicții înainte de a se stabili reguli clare de securitate. Iar acestea pot veni prin standardizare și analizarea elementelor care pot fi un posibil pericol de securitate cibernetică.

Cum e construită o rețea 5G

Pentru a înțelege riscurile unei rețele 5G, trebuie să înțelegem cum este construită aceasta, ce rețele stochează date cu caracter personal și ce entități au control în această zonă, astfel încât securitatea să fie asigurată la sursă, indiferent de producătorilor echipamentelor.

Rețelele 5G reprezintă o nouă generație de rețele radio care vor fi implementate pe scară largă în viitorul apropiat.

Teritoriul acoperit de rețeaua 5G, spre deosebire de 4G, e divizat în zone geografice mai mici, numite celule radio, acestea sunt cele care transmit date criptate de la dispozitivele 5G, fie că e vorba de telefoane sau de echipamente Internet of Things, prin unde radio către 5G Core, adică nodul rețelei care va fi deținut de operatorii de telefonie mobilă din România.

Astfel, accesul la sistemul 5G Core, cel care e inima rețelei e complet controlat de fiecare operator, dincolo de controlul furnizorilor de echipamente sau de altă terță parte.

Sistemul radio, adică echipamentele din celulele 5G, doar transmite datele peste diverse medii și nu are capacitatea de a decripta informațiile de la utilizator. În cadrul unei rețele 5G doar device-ul nostru și 5G Core, deținut de operator, sunt singurele elemente de rețea ce au acces la informațiile utilizatorilor. Stațiile doar transportă datele în mod anonim, la fel ca la tehnologia 4G, indiferent de producătorul echipamentelor radio..

Standardele elimină discriminările și stabilesc regulile

Orice rețele dezvoltate de comunicații funcționează pe standarde respectate de către toți operatorii și furnizorii de echipamente, lucru valabil dinainte de 5G.

Astfel, toate echipamentele 5G dintr-o rețea respectă standardele internaționale ale 3GPP, cel mai important for de standardizare. De ce e important standardul? Pentru a permite unui operator să aleagă unul, doi sau chiar trei furnizori de echipamente care să poată fi interconectate, pentru că „vorbesc aceeași limbă”.

La nivel global, unul dintre standardele abordate și care poate fi ales chiar de România este NESAS, dezvoltat de GSMA. Astfel, organizații independente pot face un audit dacă standardele acestea sunt respectate de toate echipamentele și furnizorii din rețea.

NESAS vine de la „Network Equipment Security Assurance Scheme” și e un standard recunoscut de organizațiile cele mai importante din industria comunicațiilor, adică 3GPP și GSMA, care e un framework ce facilitează îmbunătățirea și securitatea la același nivel de-a lungul industriei.

Pentru a obține acest standard, orice țară și furnizor trebuie să folosească un auditor de securitate independent de la GSMA și un al doilea test din partea laboratoarelor care sunt conforme cu standardele ISO/IEC 17025.

Astfel, furnizorii care nu respectă acest standard, pot fi eliminați corect, pe baza unor norme clare. Dezvoltarea după standardele NESAS conține security by design în echipamente, un review al codului sursă, un proces continuu de remediere a vulnerabilităților, protecția integrității software-ului, acuratețea documentației și îmbunătățire continuă.

NESAS acoperă 20 de categorii de evaluare, definind cerințele de securitate și un cadru de evaluare pentru dezvoltarea produselor 5G, precum și pentru procesele privind ciclul de viață al produsului.

Pentru furnizorii de echipamente, standardul NESAS oferă o listă comună de cerințe, scade duplicarea muncii și a testării de securitate și pune în evidență capacitatea unui furnizor de tehnologie că are standarde de securitate ridicată. În plus, odată cu dezvoltarea la scară globală a rețelelor 5G, standardele ar trebui să fie unitare, pentru ca utilizatorii casnici, dar și afacerile, să nu aibă bariere suplimentare de implementare transfrontalieră. Detalii despre standardele NESAS poți găsi aici.

Echipamentele 5G ale Huawei pentru rețeaua wireless și cea de bază (5G RAN gNodeB, 5G Core UDG, UDM, UNC, UPCF) și echipamentele LTE eNodeB au fost certificate de sistemul GSMA de asigurare a securității echipamentelor de rețea (NESAS).

Evaluarea este, de asemenea, o referință valoroasă pentru părțile interesate, cum ar fi operatorii, furnizorii de echipamente, autoritățile de reglementare guvernamentale și furnizorii de servicii de aplicații.

Înainte de a trece de GSMA NESAS, Huawei a trecut, de asemenea, testul de securitate cibernetică 5G al Grupului de Promovare IMT-2020 (5G) din China. Aceste specificații de testare se bazează pe standardele internaționale 3GPP pentru asigurarea securității 5G.

5G Toolbox, măsura la nivelul Uniunii Europene

UE a stabilit deja un cadru legal pentru analizarea furnizorilor de echipamente 5G în mod non-discriminatoriu și care ia în calcul capacitățile tehnologice, nu cele politice.

UE a decis realizarea unui set comun de instrumente, numit și 5G toolbox, care cuprinde măsuri de atenuare pentru a răspunde riscurilor de securitate legate de introducerea tehnologiei 5G. Astfel, statele membre ale Uniunii Europene au identificat riscurile și vulnerabilitățile la nivel național și au publicat o evaluare comună a riscurilor la nivelul UE.

Conform 5G Toolbox, statele membre vor trebui să evalueze profilul de risc al furnizorilor; în consecință, să aplice restricții relevante pentru furnizorii considerați ca prezentând un risc ridicat – inclusiv să aplice excluderile necesare pentru a atenua în mod eficace riscurile – pentru active-cheie definite ca fiind critice și sensibile în cadrul evaluării coordonate la nivelul UE a riscurilor (de exemplu, funcțiile centrale de rețea, funcțiile de administrare și orchestrare a rețelei și funcțiile de acces la rețea);

În concluzie, standardele trebuie introduse, iar securitatea rețelelor e esențială. Pe baza standardelor se pot face alegeri non-politice, tehnologice, pentru binele economic al țării.