Ce este standardul NESAS şi de ce este acesta important astăzi?
 
Cu toţii ne dorim să avem standarde de viaţă mai ridicate, standarde de educaţie mai bune şi să avem siguranţa că produsele achiziţionate dintr-un magazin respectă standarde alimentare sau funcţionale stabilite de un organism specializat, verificate şi certificate de o terţă parte, de încredere. În plus, securitatea produselor hardware şi software a devenit un topic aproape la fel de important în viaţa de zi cu zi a organizaţiilor şi cetăţenilor, fiind dezbătută în ultima vreme mai ceva ca un meci de fotbal, pe toate canalele media, aşa încât o discuţie despre standardizarea în acest domeniu nu putea întârzia prea mult.
 
În general, există două categorii de standarde: cele de proces si cele de produs. 
 
Un exemplu de standard de process este ISO 9001, poate cel mai cunoscut dintre toate, afişat pe majoritatea produselor pe care le achiziţionăm, de la conservele de carne pentru stocul pandemic până la automobile gata să înfrunte traficul din marile oraşe. O organizaţie care respectă standardul ISO 9001 demonstrează faptul că poate crea un produs într-un mod deterministic, documentat, care arată, funcţionează sau miroase la fel indiferent de ora, ziua, echipa sau locul în care a fost realizat. Nu înseamnă neapărat că este un produs de calitate, cerut de piaţă, ci faptul că nivelul de calitate al acestuia rămâne constant pe toată durata producţiei de serie. De exemplu, putem produce roţi pătrate, dar le putem produce la fel într-un mod constant. Un standard de process are şi un pas de perfecţionare, cu alte cuvinte, un feedback din partea unui client sau al echipei de vanzări se poate lua în considerare, putând duce la modificarea procesului de fabricaţie şi la o atractivitate mai ridicată a acestuia pentru clientul final. 
 
Standardul de produs este cel care stabileşte cerinţe pentru echipamentul sau produsul propriu-zis. De exemplu, un automobil trebuie să conţină obligatoriu sisteme de frânare, de direcţie sau de securitate a pasagerilor, fiecare dintre acestea având cerinţe tehnice foarte stricte. Un producător este obligat să respecte toate cerinţele tehnice impuse de autorităţile care reglementează sectorul auto, aceasta fiind o condiţie pentru omologarea automobilelor şi dreptul de a putea fi folosite de utilizatorii finali. Companiile producătoare pot adăuga caracteristici suplimentare, ca diferenţiatori pe piaţa din ce în ce mai competitivă a maşinilor.
 
Sectorul tehnologiei informaţiei si comunicaţiilor (IT&C) nu a rămas deloc în urmă, dimpotrivă. Aş începe prin a aminti că standardele de securitate nu sunt o invenţie a zilelor noastre şi nici ultima născocire în materie de securitate cibernetică. Cel mai cunoscut standard de proces este cel al managementului securităţii informaţiei, ISO 27001, care are rădăcini mai vechi, fiind o evoluţie naturală a standardului britanic BS 7799, datând din “antichitatea” sistemelor informatice, 1995. Standardul stabileşte modul în care se realizează managementul securităţii informaţiei într-o organizaţie, plecând de la suportul din partea conducerii de top a acesteia, de la strategia si politicile de securitate sau urmărirea cadrului legal, până la securitatea tehnică a reţelei de comunicaţii, a sistemelor de control acces logice si fizice, mecanismele criptografice sau procesul de dezvoltare a aplicaţiilor software. O cerinţă obligatorie a standardului este asigurarea unui proces intern de perfecţionare continuă, prin evaluări interne şi externe care să identifice oportunităţile de îmbunătăţire a cadrului de securitate, şi prin mecanisme de management al riscurilor.
 
În ceea ce priveşte standardele de produs, ultimul deceniu al secolului XX a marcat trecerea de la standarde regionale şi naţionale, precum ITSEC (Information Technology Security Evaluation Criteria) in Europa, TCSEC (Orange Book) în SUA sau CTCPEC (Canadian Trusted Computer Product Evaluation Criteria) în Canada, la un standard comun, denumit Common Criteria (Criterii Comune). Acesta, cunoscut şi ca ISO/IEC 15408, este definit drept standard internaţional pentru certificarea sistemelor informatice. Un produs poate avea un nivel de securitate pe o scară EAL (Evaluation Assurance Level) de la 1 la 7. Sistemele de operare cunoscute au, în general, nivelul EAL4, smartcardurile EAL5, iar diodele de date ce permit transferul de informaţie strict într-o singură direcţie atunci când conectăm o reţea clasificată (de exempu procesând informaţie secretă) la una neclasificată (având informaţii nesecrete sau publice) le putem regăsi certificate la un nivel maxim, EAL7. Un exemplu de produs certificat de Huawei la nivelul EAL4+ este firewall-ul next generation Unified Security Gateway, iar un alt exemplu este sistemul de operare HarmonyOS, certificat recent la EAL5+, cel mai ridicat nivel de securitate pentru un sistem de operare destinat utilizatorilor obişnuiţi. 
 
Durata şi costul certificării depind atât de complexitatea produsului cât şi de nivelul dorit de verificare, dar putem să considerăm o medie de 1-2 ani pentru certificarea acestuia, la un cost care poate ajunge la sute de mii de dolari. Cei mai vechi in breasla securităţii informţiei îşi aduc poate aminte că aveau de ales uneori, în faza de proiectare a unei reţele Intranet, între un sistem de operare sau un criptor IP vechi de peste 2-3 ani, dar certificat la un anumit nivel, cum ar fi EAL4, sau un altul, produs de acelaşi vendor, mai evoluat, cu mecanisme de securitate mai avansate, de nouă generaţie, dar ne-certificat încă. Şi îl alegeau întotdeauna pe cel vechi, din cauza reglementărilor sectoriale sau naţionale privind acreditarea sistemelor informatice şi de comunicaţii.
 
Important este deopotrivă faptul că standardul Common Criteria nu a fost gândit ca o schemă de certificare pentru echipamente de reţea, lăsând loc imaginaţiei inginerilor din sectorul telecomunicaţiilor. Aceştia, în dorinţa lor de a se face remarcaţi, au creat o nouă schemă, mai apropiată domeniului lor de activitate, mai rapidă şi ceva mai dinamică, denumită NESAS (Network Equipment Security Assurance Scheme). NESAS este o schemă de certificare a securităţii echipamentelor care intră în componenţa reţelelor mobile. Cu alte cuvinte, este o metodă prin care componentele unei reţele de tip 4G sau 5G fac dovada unui nivel de securitate bine definit si măsurat. Dezvoltat de asociaţia operatorilor şi furnizorilor de comunicaţii mobile (GSMA – Global System for Mobile Communications Association) alături de consorţiul 3GPP (3rd Generation Partnership Project) care reuneşte organizaţii internaţionale de standardizare precum ETSI (Institutul European de Standarde în Telecomunicaţii), NESAS este o personalizare a celor mai bune practici de securitate cibernetică pentru echipamentele şi funcţiile de reţea.
 
NESAS reprezintă metoda prin care toate echipamentele de reţea sunt evaluate obiectiv şi echitabil, pe baza unor criterii tehnice clare de securitate cibernetică, eliminând din acest mecanism orice formă de rasism tehnologic.
 
În contextul unor discuţii geopolitice care pot duce la o nouă fragmentare globală a spaţiului tehnologic, schema de certificare NESAS rămâne o pârghie a colaborării, fiind sprijinită atât de operatorii Tier-1 de reţele mobile, de producătorii de echipamente cât şi de agenţiile de securitate de la nivel European (ENISA - The European Union Agency for Cybersecurity) sau naţionale (BSI Germania, ANSSI Franţa). 
 
 
Cum se realizează certificarea de securitate a echipamentelor de reţea?
 
NESAS este gândit de o manieră practică şi comprehensivă, fiind în acelaşi timp atât un standard de proces cât şi de produs. 
 
În ceea ce priveşte procesul, acesta defineşte cerinţe de securitate pentru toate etapele dezvoltării echipementelor: planificare, proiectare, implementare, testare, versionare, dezvoltare şi livrare, dar şi pentru pentru perioada post-producţie, cum ar fi furnizarea de update-uri sau pregătirea pentru încetarea suportului, atunci când echipamentele sunt deja de generaţie prea veche pentru dinamica actuală a reţelelor.
 
Pentru claritate, să luăm un exemplu de cerinţă de securitate pentru procesul de dezvoltare a produselor: “Producătorul trebuie să se asigure că întreg codul sursă, atât cel nou cât şi cel modificat, dedicat unui produs, este revizuit în mod adecvat conform unui standard recunoscut de securitate. Dacă este fezabil, procesul de revizuire se recomandă a fi implementat cu ajutorul soluţiilor automate de tip Source Code Analysis Tool”.  Practic, un produs certificat NESAS beneficiază de un cod sursă mai sigur, care a trecut printr-un proces de detectare a vulnerabilităţilor în mod formal, măsurabil şi documentat. Huawei are, de exemplu, întreaga suită de componente pentru 5G certificată NESAS, plecând chiar din zona radio, prin staţia de bază gNodeB (denumire specifică conceptului 5G). Aceasta confirmă faptul că un proces documentat şi aliniat standardelor internaţionale, de detectare a vulnerabilităţilor tehnice încă din faza inţială de dezvoltare a software-ului, este aplicat constant în procesul de fabricaţie, reducând riscurile de securitate la minimum. Mai mult decât atât, acest proces este auditat conform unei metodologii bine definite şi transparente, de către personal de specialitate din cadrul laboratoarelor independente de certificare, acreditate în acest scop de către asociaţia GSMA.
 
Şi asta nu este tot! Ca standard de produs, NESAS defineşte cerinţe de securitate specifice fiecărui tip de echipament şi componentă de reţea, spre deosebire de standardele generale de tip Common Criteria. Acestea se adaugă unui set pre-definit de cerinţe obligatorii pentru toate echipamentele de reţea, prin catalogul “TS 33 117 - Catalogue of general security assurance requirements” (Catalog cu cerinţe generale de asigurare a securităţii). Mai precis, dacă vorbim de o staţie radio de bază 5G (denumită gNodeB), aceasta trebuie să implementeze măsuri de securitate generale, precum asigurarea confidenţialităţii şi integrităţii datelor prin utilizarea de mecanisme criptografice şi protocoale actuale, puternice şi fără vulnerabilităţi cunoscute, jurnalizarea evenimentelor, politici stricte de autentificare şi de asigurare a tăriei parolelor, dar şi cerinţe specifice staţiilor de bază, precum cele definite în “3GPP TS 33.511 Security Assurance Specification (SCAS) for the next generation Node B (gNodeB) network product class” (Specificaţii de asigurare a securităţii pentru clasa de produse de generaţie viitoare gNodeB). Un exemplu de cerinţă specifică este criptarea datelor utilizatorilor, care circulă între terminalele mobile ale acestora, gen smartphone, smart watch, smart meter şi staţiile radio de bază 5G ale operatorilor (“The gNB shall provide ciphering of user data packets between the UE and the gNB on NG RAN air interface”), utilizând algoritmi de criptare puternici pe 128 biţi. Practic, certificarea NESAS a unei staţii radio 5G, cum este cea furnizată de Huawei, asigură securitatea datelor utilizatorilor încă de la plecarea acestora din telefonul mobil, fără ca vreo entitate maliţioasă de pe traseu să aibă posibilitatea tehnică să le acceseze. Dacă facem o comparaţie cu telefoanele fixe pe care le foloseam odată, este un pas enorm înainte, de care beneficiem cu toţii.
 
 
De ce este NESAS un standard de viitor?
 
NESAS defineşte într-un mod proactiv măsurile de securitate pentru generaţia următoare a infrastructurilor de comunicaţii. Deja putem spune că acest standard este unul al viitorului, din acest punct de vedere. Pe de altă parte, există deja cerinţe de securitate definite de către 3GPP pentru soluţiile şi echipamentele care vor face deliciul in anii ce urmează, cum sunt cele legate de managementul dronelor sau al maşinilor interconectate. Pe măsură ce soluţiile vor fi adoptate peste infrastructurile 5G, vom asista cu siguranţă le definirea unor standarde specifice de securitate de tip SCAS (Security Assurance Specification) similare celui pentru staţia de bază gNodeB, ca fundament pentru certificarea componentelor dronelor, autovehiculelor sau, de ce nu, a macaralelor interconectate şi inteligente.
 
Din ce în ce mai dorit de comunitatea tehnică internaţională, NESAS va deveni complementar Common Criteria şi va duce la sporirea încrederii utilizatorilor de servicii inovatoare peste reţelele 5G sau 6G, de o manieră clară, documentată, precisă şi non-discrimatorie.