Seminarul online din 20 mai, disponibil la cerere pe RCR Wireless şi YouTube, a găzduit discuţii referitoare la standarde uniforme şi verificări independente, precum şi la motivele pentru care acestea sunt necesare pentru o administrare eficace a riscurilor. Printre experţii prezenţi la seminar se numără Andy Purdy, responsabil şef cu securitatea la Huawei Technologies SUA, Bob Xie, responsabil cu securitatea cibernetică la filiala Huawei din regiunea vest-europeană şi director al Centrului de transparenţă în securitatea cibernetică din Bruxelles, prof. Chris Mitchell de la Royal Holloway, Universitatea din Londra, şi Jon France, director al sectorului de securitate de la GSMA. 

Reţelele 5G vor juca un rol fundamental în transformarea digitală a multiplelor economii şi sectoare industriale. Prin urmare, părţile implicate în acest proces, inclusiv operatorii de reţele, furnizorii de infrastructură şi agenţiile guvernamentale, au un interes deosebit în ceea ce priveşte modalitatea de securizare a acestor reţele. 

Cu toate acestea, preocupările în materie de securitate cibernetică, mai ales în contextul 5G, nu pot fi abordate în mod independent. Crearea unui proces în cadrul căruia preocupările în materie de securitate cibernetică pot fi exprimate, evaluate şi validate necesită orientări clare şi colaborare între diverse părţi. 

În cadrul seminarului online, Jon France, directorul sectorului de securitate de la GSMA, s-a axat pe rolul pe care îl joacă încrederea şi garantarea securităţii cibernetică în cadrul sectorului de telecomunicaţii. Acest aspect ar trebui considerat ca fiind responsabilitatea comună a operatoriilor din cadrul organizaţiilor de standardizare, a furnizorilor, a autorităţilor de reglementare, precum şi a consumatorilor, fiecare având de jucat un rol.

„Încrederea este un drum cu dublu sens”, afirmă France, „Atunci când vorbim de ecosistemul de telecomunicaţii mobile, vorbim de o reţea de furnizori, operatori, autorităţi de reglementare care trebuie să consolideze şi să insufle încredere. Nu este un principiu absolut; este despre a avea încrederea unii în alţii, în relaţiile dintre două sau mai multe părţi.” 

Pentru a stimula nivelul de referinţă al încrederii în echipamentele pentru reţeaua de telecomunicaţii, GMSA a colaborat cu organismul de standardizare 3GPP pentru a elabora Sistemul pentru Asigurarea Securităţii Echipamentelor de Reţea (NESAS). NESAS defineşte cerinţele de securitate şi un cadru de evaluare a gradului de securitate a procesului de dezvoltare a echipamentelor şi a întregului ciclu de viaţă al produselor, precum şi utilizarea seturilor de cazuri-tip definite de 3GPP pentru evaluarea gradului de securitate a echipamentelor de reţea. Obiectivul principal al NESAS este de a reduce fragmentarea pe piaţă şi de a oferi un standard de referinţă bun pe care fiecare vânzător ar trebui să fie capabil să îl parcurgă pentru a obţine asigurarea securităţii. Peste 50 de operatori şi vânzători importanţi au contribuit la dezvoltarea planului NESAS, care a fost publicat la sfârşitul anului 2019. 

Bob Xie este ofiţerul de securitate cibernetică al Huawei pentru Europa de Vest şi coordonator pentru Centrul său de transparenţă din Bruxelles. Xie a declarat că Huawei adoptă o abordare în mai multe straturi, „multe mâini, mulţi ochi” pentru încrederea şi verificarea securităţii cibernetice. „Credem că încrederea ar trebui să se bazeze pe fapte”, a spus el. „Şi faptele ar trebui să fie verificabile. Iar verificarea ar trebui să se bazeze pe standarde comune.” Acesta a explicat că Huawei are etape de verificare, atât interne cât şi independente, integrate în procesul său de dezvoltare a produsului.

În plus, Centrul de transparenţă din Bruxelles oferă un mediu propice clienţilor, funcţionarilor guvernamentali şi altora să înveţe despre strategia şi practicile de securitate cibernetică a vânzătorului, raportate la lanţul de aprovizionare, cercetare şi dezvoltare şi produse. Mai mult, unitatea este un mediu deschis tuturor pentru a testa şi valida produsele Huawei.

În ciuda provocărilor cărora a trebuit să facă faţă pe unele pieţe, Huawei tot câştigă clienţi noi pe piaţa 5G în întreaga lume. Compania a încheiat până acum 91 de contracte comerciale 5G, dintre care 47 în Europa, 27 în Asia şi 17 în alte regiuni. Conform reprezentaţilor companiei, patruzeci şi nouă din aceste reţele sunt deja operaţionale.

În Marea Britanie (UK), Huawei colaborează de câţiva ani pe tematica 5G cu grupuri de supraveghere guvernamentale şi operatori. Această colaborare şi cooperare s-a materializat într-un acord care le permite operatorilor din UK să folosească echipamentul de reţea de acces radio (RAN), cu anumite restricţii. Tehnologia Huawei este evaluată sub supraveghere guvernamentală în Centrul de evaluare a securităţii cibernetice Huawei, aflat în afara Londrei.

Huawei poate participa la dezvoltarea reţelei 5G şi în Germania. Guvernul german consideră că orice echipament care va face parte dintr-o reţea 5G va fi supus unor validări şi testări riguroase de securitate cibernetică, indiferent de vânzător sau ţara de origine.

Colegul lui Xie, Andy Purdy, responsabilul şef cu securitatea pe Huawei Technologies SUA, a notat importanţa acordurilor cadru pe securitate cibernetică. Acestea trebuie să facă referire la standardele recunoscute, cum ar fi cele dezvoltate de 3GPP şi GSMA pe tematica 5G şi NESAS-SCAS pentru echipamentele de telecomunicaţii. Purdy mai adaugă că aceste acorduri cadru trebuie să includă şi protocoale de testare şi conformitate independente.

Acesta a mai subliniat şi nevoia de stimulente bazate pe piaţă care să încurajeze furnizorii de echipamente de telecomunicaţii să ofere o mai mare transparenţă şi siguranţă, suplimente importante la reglementările guvernamentale. Cumpărătorii de TIC ar trebui să impună cerinţe informate cu privire la riscuri în procesul de achiziţii pentru siguranţă şi transparenţă, a sugerat Purdy. El a mai adăugat că cei care achiziţionează echipamente de telecomunicaţii, în colaborare cu alte părţi interesate, ar trebui să solicite vânzătorilor să concureze nu numai pe funcţionalitate şi preţ, dar şi pe practici de securitate cibernetică şi transparenţă. O asemenea abordare i-ar motiva pe furnizori să asigure o mai mare securitate şi transparenţă pentru a fi lideri de piaţă.

Drept exemplu, Purdy a prezentat un acord cadru în cinci etape dezvoltat de ONG-ul Institutul East West:

  • cerinţe informate cu privire la riscuri în procesul de achiziţii,
  • cerinţe de securitate iniţiate de cumpărători pentru vânzătorii de TIC,
  • cerinţe de siguranţă şi transparenţă iniţiate de vânzători,
  • centre regionale de transparenţă,
  • program de conformitate globală.

„Credem că ar fi o idee bună dacă ar fi un apel la acţiune adresat nouă şi competitorilor noştri ca parte a unui acord cadru general de acest gen…pentru a dezvolta un minim de bune practici ale industriei pentru siguranţă şi transparenţă” a declarat Purdy. „Este o responsabilitate comună. Să lucrăm împreună ca o comunitate globală pentru a implementa practici şi a ridica ştacheta în siguranţa cibernetică.”