El gobierno brasileño publicó el viernes 27 la instrucción normativa con los requisitos mínimos de seguridad cibernética que deben adoptarse en el despliegue de redes 5G. Si bien no hay cuotas para los proveedores de equipos, el documento exige que los operadores contraten a diferentes proveedores, de modo que una misma área geográfica tenga al menos dos proveedores que usan equipos de diferentes proveedores. En definitiva, la decisión gubernamental limita de alguna manera la existencia de un proveedor predominante.

Sin citar nombres propios, la medida afecta a Huawei, dado que durante los últimos meses hubo rumores que el gobierno brasileño podría imponer una cuota de mercado al vendor chino. De hecho, Ericsson y Nokia aplaudieron la decisión.

En opinión del gobierno, se debe promover la diversidad de proveedores de servicios por región y por bandas de frecuencia a fin de promover la competencia y la consiguiente calidad de los servicios prestados, así como su continuidad en caso de que no se presten servicios por cierto proveedor de servicios o cesionario.

Además, establece que el equipo y el software deben ser auditados. Para este fin, requiere el uso de procesos de auditoría que garanticen la seguridad cibernética de los sistemas utilizados en la red 5G, pero estos procesos pueden proporcionarse conjuntamente con proveedores de servicios y empresas interesadas en proporcionar tecnología 5G. La Oficina de Seguridad Institucional está preocupada por la existencia de vulnerabilidades y puertas traseras en los sistemas de tecnología 5G, ya sea implementada de manera intencional o involuntaria.

Según la norma, la empresa que presta servicios de telecomunicaciones, de conformidad con la legislación vigente, debe tener mecanismos de interoperabilidad con otros proveedores, a través de mecanismos seguros. Y, para evitar que las redes móviles accedan a los sistemas centrales, los proveedores de servicios deben implementar el SEPP (Security Edge Protection Proxy) en 5G para proporcionar funciones de protección en los límites de esas redes.

Las funciones definidas son ocultar la topología; para filtrar mensajes; establecer canales TLS (Seguridad de la capa de transporte); e implementar protección de seguridad a nivel de aplicación para mensajes móviles en redes IPX (Internetwork Packet Exchange). El proveedor también debe implementar las funciones de detección y mitigación de «tormentas» maliciosas de paquetes, para prevenir y minimizar los efectos de los ataques cibernéticos como DDoS (Denegación de servicio distribuida), sin perjuicio de que al menos Una de las funciones tiene la responsabilidad de proporcionar monitoreo de metadatos de tráfico de red, para identificar patrones anormales.

Otro requisito es que la compañía proveedora de servicios debe implementar el aislamiento de seguridad NFV (Network Function Virtualization) como una solución de extremo a extremo que estará obligatoriamente disponible en el equipo a utilizar, que al menos adoptará los estándares en plantillas de SEC009 (seguridad de gestión de alojamiento de inquilinos múltiples) y SEC002x (gestión de características de seguridad de software de código abierto), definidas por ETSI (Instituto Europeo de Normas de Telecomunicaciones).

Los operadores deberán registrar el estado de configuración de sus equipos de red mensualmente (resultado de la administración de la configuración), que contenga información como la topología de la red, las versiones de hardware y software del equipo, para ayudar actividad de auditoría Además, determina que los incidentes de seguridad cibernética ocurridos deben ser reportados inmediatamente al Centro de Tratamiento y Respuesta Cibernética del Gobierno del Departamento de Seguridad de la Información de la Oficina de Seguridad Institucional de la Presidencia de la República.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *