Governo estabelece que operadoras de 5G não podem ter mesmo fornecedor em mesma área
O governo publicou, nesta sexta-feira, 27, a instrução normativa com os requisitos mínimos de segurança cibernética que devem ser adotados na implantação das redes 5G. Não há cotas para fornecedores dos equipamentos, mas exige que as prestadoras de serviço contratem fornecedores distintos, de forma que uma mesma área geográfica possua, pelo menos, duas prestadoras utilizando equipamentos de fornecedores distintos, limitando, de alguma forma a existência de um fornecedor preponderante.
No entendimento do governo, deve-se promover a diversidade de provedoras de serviço por região e por faixas de frequências com intuito de promover a concorrência e a consequente qualidade dos serviços prestados, bem como a sua continuidade no caso de falha de prestação de serviços por determinada prestadora de serviços ou cessionária.
Além disso, estabelece que os equipamentos e software devem ser auditados. Para isso, obriga a utilização de processos de auditoria que assegurem a segurança cibernética dos sistemas utilizados na rede 5G, mas esses processos podem ser fornecidos de forma conjunta com as prestadoras de serviços e empresas interessadas em fornecer tecnologia 5G. A preocupação do Gabinete de Segurança Institucional é com relação a existência de vulnerabilidades e backdoors em sistemas de tecnologia 5G, implantados de forma intencional ou involuntária.
Pela norma, a empresa prestadora de serviços de telecomunicações, nos termos da legislação vigente, deverá dispor de mecanismos de interoperabilidade com as demais prestadoras, por meio de mecanismos seguros. E, a fim de evitar que redes roaming acessem os sistemas de núcleo, as empresas prestadoras de serviço deverão implementar o SEPP (Security Edge Protection Proxy) no 5G para fornecer funções de proteção nas fronteiras daquelas redes.
As funções definidas são de esconder a topologia; de filtrar mensagens; de estabelecer canais TLS (Transport Layer Security); e de implementar proteção de segurança na camada de aplicação para mensagens do tipo roaming através de redes IPX (Internetwork Packet Exchange). A prestadora deverá também implementar as funções de detecção e de mitigação de “tempestades” de pacotes maliciosos, de forma a prevenir e minimizar os efeitos de ataques cibernéticos do tipo negação de serviço DDoS (Distributed Denial of Service), sem prejuízo de que pelo menos uma das funções possua a responsabilidade de prever o monitoramento de metadados de tráfego de rede, para identificação de padrões anormais.
Outra exigência é de que a empresa provedora de serviços deverá implementar o isolamento de segurança NFV (Network Function Virtualization) como uma solução end-to-end que estará, obrigatoriamente, disponível nos equipamentos a serem utilizados, os quais adotarão ao menos os padrões nos moldes do SEC009 (Multi-tenant hosting management security) e do SEC002x (Security feature management of open source software), definidos pela ETSI (European Telecommunications Standards Institute).
O GSI exige que, mensalmente, as prestadoras de serviço registrem o estado de configuração dos equipamentos de sua rede (resultado do gerenciamento de configuração), contendo informações como topologia de rede, versões de hardware e de software dos equipamentos, a fim de auxiliar a atividade de auditoria. Além disso, determina que os incidentes de segurança cibernética ocorridos deverão ser informados, imediatamente, ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República.