Os standards de segurança cibernética nas redes de 5ª geração devem ser mais robustos e harmonizados entre todos os Estados-Membros, alerta o mais recente relatório da ENISA.
A Europa corre contra o tempo para avançar na implementação das redes móveis de 5ª geração. Mas, nesta competição pela liderança nas tecnologias, a cibersegurança não pode ficar para trás. E há ainda muito caminho para percorrer neste domínio, adverte a Agência Europeia para a Segurança das Redes de Informação (ENISA).
Se em janeiro deste ano a União Europeia já havia alertado, através do seu Relatório Especial 03/2022, para os atrasos na resolução dos problemas de segurança associados à implantação das redes 5G na EU, agora em março, a ENISA lança o relatório “Padrões de Segurança Cibernética 5G”, com um alerta para os países da União Europeia começarem a construir uma estratégia robusta e harmonizada entre todos os Estados-Membros.
Novas diretrizes, mas também novas ferramentas terão de ser desenhadas não apenas para aplicar ao conjunto do bloco comunitário, mas tendo também em conta cada sector da economia que depende das tecnologias de 5ª geração para alavancar a sua atividade. O que se constata, segundo o relatório da ENISA, é que a literatura até agora publicada sobre esta matéria ainda não permite trazer “confiança e resiliência de ponta” ao ecossistema 5G.
Face às atuais vulnerabilidades, a ENISA prevê que sejam necessárias mais diretrizes para criar ferramentas específicas do 5G. A exigência é essencial para fixar indicadores-chave de desempenho, que asseguram os melhores protocolos de segurança para todos os países da UE.
O diagnóstico, para já, está longe do ideal, com todas as áreas analisadas no relatório a apresentarem brechas nos padrões de segurança. Mas, se na Governança e gestão de riscos ou mesmo na Segurança dos Recursos Humanos, essas omissões são “moderadas”, o mesmo não se poderá dizer dos restantes domínios como, por exemplo, Gestão de operações, Gestão de continuidade de negócios ou Gestão de incidentes, onde a padronização demonstra “grandes lacunas”.
Para chegar a estas conclusões, os autores do relatório consideraram toda a documentação produzida por entidades europeias de segurança até setembro de 2021. Os especialistas compararam a literatura existente com cenários ideais de robustez e resiliência de cibersegurança. A análise serviu para identificar as lacunas na padronização de segurança, tanto nas suas dimensões técnicas como organizacionais.
Os autores peneiraram mais de 140 documentos, reunindo cerca de 150 medidas de segurança. Após essa recolha, os especialistas procuraram formular as recomendações que consideram determinantes para estabelecer os padrões mais vigorosos na área da segurança cibernética.
Os protocolos, bem como as especificações e diretrizes atualmente disponíveis não estão, regra geral, direcionados para o ecossistema 5G e apenas poderão ser aplicados após transpostos e adaptados para a realidade das redes de 5ª geração. E até mesmo as orientações específicas para o 5G estão maioritariamente focadas na “fase de execução” e não tanto em outros estádios do ciclo de vida das tecnologias.
Esses mesmos padrões, quando existem, estão sobretudo vocacionados para as Telecomunicações. É essencial, por isso, alargar o seu âmbito para outras esferas, como por exemplo, empresas de auditoria e stakeholders no sector dos dispositivos conectados, que carecem de normas mais definidas.
Ainda assim, boa parte do conhecimento já adquirido sobre ameaças cibernéticas e diretrizes de segurança nas Tecnologias de Informação (TI) pode ser usado para arquiteturas nativas de nuvem 5G e arquiteturas que dependem de Interface de Programa de Aplicações (API). Embora essas famílias de software já tenham entrado no dia a dia das indústrias de TI, o seu uso é ainda recente, podendo vir a contribuir para massificar o uso da cloud no sector das Telecomunicações.
O fundamental é adotar uma abordagem progressiva, que deverá, desde logo, considerar a relação entre necessidade de novos padrões e os objetivos estratégicos previamente traçados. Por outro lado, as práticas de identificação e a avaliação de risco deverão estar harmonizadas de forma a incluir todas as partes interessadas.
Quando se entra no ecossistema 5G, há um grande número de entidades públicas e privadas que é preciso ter em conta. O seu universo estende-se das indústrias verticais aos operadores e fornecedores de redes móveis, passando por prestadores e provedores de serviços até às indústrias de dispositivos conectados ou laboratórios e empresas credenciados, que avaliam a segurança de redes e sistemas de 5ª geração.
As recomendações da ENISA estão, naturalmente, alinhadas com a Estratégia de cibersegurança da UE, publicada em 2020, esclarecem os autores do relatório. Essa é a razão para defenderem um planeamento sustentando no longo prazo, abrangendo não somente os domínios tecnológicos e funcionais do 5G, mas também os processos e partes interessadas do ciclo de vida da tecnologia relacionada.
Destinadas, em particular, aos grupos de trabalho de padronização, partes interessadas do sector e agências nacionais de segurança cibernética em toda a União Europeia, as recomendações do relatório da ENISA aplicam-se a todos os “domínios tecnológicos e funcionais” do 5G.
Mas, tendo em conta o foco do documento nas perspetivas técnica e organizacional, os autores alertam para a necessidade de se acautelarem outras ameaças fora desses âmbitos, como são os riscos sociais resultantes do mau funcionamento da rede.
A complexidade do 5G exige uma visão abrangente de confiança e resiliência que vá além da padronização. Essa abordagem – conclui o relatório – deverá ser “à prova de futuro” e não depender de fatores variáveis, como são, por exemplo, as configurações na rede.
O relatório Standards de Segurança Cibernética 5G (em inglês) pode ser descarregado na página dedicada às publicações do website da ENISA.
O Relatório Especial 03/2022: Implantação do 5G na UE: atrasos na implantação de rdes com problemas de segurança ainda não resolvidos, pode ser descarregado na página do Tribunal de Contas Europeu.
__________________________
Sobre a Agência Europeia para a Segurança das Redes e da Informação (ENISA)
A ENISA contribui para a política da UE em matéria de cibersegurança, reforçando a confiança nos produtos, serviços e processos digitais através da elaboração de sistemas de certificação de segurança cibernética. A agência da União Europeia coopera também com os Estados-Membros e organismos do espaço comunitário, procurando antecipar os futuros desafios cibernéticos. Mais informações sobre a ENISA e o seu trabalho podem ser consultados em www.enisa.europa.eu.