A importância da ‘standardização’ na segurança das redes de comunicações

O seu desenvolvimento criará um conjunto de oportunidades, recursos e capacidades que vai melhorar as operações e as comunicações da nossa sociedade. E sendo estas redes um capacitador digital do futuro e de inúmeros sectores – como a medicina, agricultura, energia, entre outros – é evidente o seu impacto na grande maioria da população mundial.

No contexto da União Europeia (UE) e da criação de um modelo para a proteção das redes – considerando que operadores, reguladores e fornecedores estão entre os principais responsáveis por um ecossistema seguro –, cada Estado-membro tem a responsabilidade de garantir a segurança da tecnologia e das comunicações a nível nacional. Reflete-se assim a necessidade de um esforço coordenado e estratégico da UE com os vários países, na criação de uma abordagem padronizada para as medidas de cibersegurança e privacidade. Neste âmbito, é fundamental ter em mente que o objetivo de elevar a cibersegurança nas redes só será alcançado, medido e gerido na sua plenitude através da utilização e implementação de acções estruturadas, em linha com as diretrizes das instituições europeias.

Temos então um claro sinal da necessidade de uma ‘standardização’ como base da aferição da segurança nas redes. A temática, embora não seja simples nem consensual, visa desenvolver uma abordagem padronizada, baseada em avaliações pragmáticas e na gestão de risco, em que a igualdade entre fornecedores deve ser um aspeto fundamental. Em resultado desse cenário que se quer ideal, deveremos privilegiar as avaliações ‘standardizadas’ na indústria e no ecossistema, especialmente no que respeita a equipamentos e produtos para redes de quinta geração.

O Network Equipment Security Assurance Scheme (NESAS), definido em conjunto pela GSMA e 3GPP para avaliação de segurança de equipamentos de rede móvel, torna-se assim um elemento fundamental. Desenvolvido de acordo com as diretrizes dos padrões de segurança relacionados com os processos de ciclo de vida e desenvolvimento de produtos, o NESAS fornece uma linha-base de segurança para garantir que o equipamento de rede cumpre requisitos essenciais neste campo – o 3GPP iniciou já a avaliação de segurança de vários equipamentos para redes de quinta geração, estando os principais fornecedores e operadores a participar ativamente na formulação do NESAS.

Não será então descabido identificar alguns dos benefícios que o NESAS trará aos fornecedores de equipamentos, como por exemplo:

• Alinhamento com uma associação líder na representação da indústria de telecomunicações à escala mundial;
• Execução de uma análise de segurança alinhada com as melhores práticas do mercado e da indústria;
• Utilização de uma base padronizada para auditorias de segurança;
• Prevenção da fragmentação dos requisitos de segurança de país para país e de operador para operador.

Adicionalmente, o NESAS traz também um conjunto de benefícios para os operadores, nomeadamente:

• Utilização de um padrão de auditoria de segurança alinhado com a indústria, que exige um alto nível de compromisso e envolvimento dos fornecedores;
• Garantia de utilização de equipamentos de fornecedores que cumprem requisitos de segurança e privacidade exigidos por duas das entidades mais reconhecidas na indústria;
• Evitar o desperdício de recursos com a realização de auditorias desalinhadas com as melhores práticas do mercado.

Este é o momento de capacitar entidades governamentais, reguladores e agências de cibersegurança com as ferramentas e os processos adequados para avaliar a segurança das redes de comunicações de uma forma imparcial e clara. Apenas através de mecanismos que permitam testar, de forma independente e transparente, os controlos de cibersegurança numa perspetiva end-to-end – o que inclui verificação do código-fonte, testes de penetração, gestão de vulnerabilidade e cumprimento integral dos requisitos de cibersegurança e privacidades das legislações e regulações locais – será possível aproveitar, de forma segura, o potencial que as redes de nova geração oferecem.