O governo publicou nesta sexta-feira, 27, regras para a segurança nas redes 5G com instruções específicas de protocolos e tecnologias, bem como a possibilidade de auditoria com envolvimento das autoridades em incidentes. Assinada pelo ministro chefe do Gabinete de Segurança Institucional da Presidência (GSI), Augusto Heleno, a instrução normativa nº 4, de 26 de março de 2020, dispõe sobre os requisitos mínimos de segurança cibernética que devem ser adotados no estabelecimento das redes 5G.
Notadamente, não há restrições a determinados fornecedores, como limite a redes de acesso e impossibilidade de atuar na rede de core. A única exigência é que as redes tenham sempre mais de um fornecedor. "As prestadoras de serviço deverão subcontratar fornecedores distintos, de forma que uma mesma área geográfica possua, pelo menos, duas prestadoras utilizando equipamentos de fornecedores distintos", diz o ato. Sendo assim, o governo brasileiro não impõe limites a empresas chinesas como a Huawei (como ocorreu no Reino Unido, por exemplo), desde que as fabricantes entrem em conformidade com as determinações. "Os requisitos estabelecidos neste ato buscam elevar a proteção da sociedade e das instituições nacionais, em face da possibilidade de existência de vulnerabilidades e backdoors em sistemas de tecnologia 5G", diz o documento.
Os requisitos mínimos de segurança devem atender os princípios de: interoperabilidade, disponibilidade, integridade, autenticidade, diversidade, confidencialidade, prioridade e responsabilidade. A instrução normativa nº 4 pode ser lida na íntegra clicando aqui.
Determinações
As normas exigem que a operadora deverá exigir de fornecedores o cumprimento de todos os protocolos e especificações técnicas da Anatel, ABNT ou "reconhecidos internacionalmente". Exige ainda que as operadoras disponham de mecanismos de interoperabilidade com outras prestadoras.
No caso específico de acesso externo, o MD diz que deve-se evitar que as redes roaming acessem o core de rede. Para isso, as operadoras deverão implantar um sistema de Security Edge Protection Proxy (SEPP) no 5G, com funções de proteção nas fronteiras das redes para "esconder a topologia, filtrar mensagens, estabelecer canais TLS (Transport Layer Security) e implementar proteção de segurança na camada de aplicação para mensagens do tipo roaming através de redes IPX (Internetwork Packet Exchange)".
Naturalmente, as operadoras deverão seguir as regras da Anatel, especialmente em relação à qualidade e disponibilidade do serviço. A instrução normativa destaca a previsão e o teste de rotas alternativas de tráfego, no caso de a infraestrutura de determinada fornecedora esteja comprometida. "Quando a temática estiver relacionada às rotas alternativas, deve-se prever uso de infraestrutura de outras prestadoras em casos emergenciais."
Outra necessidade será a de implantação de mecanismos contra ataques de negação de distribuição de serviço (DDoS), que procuram sobrecarregar artificialmente uma rede para tirá-la do ar. Para tanto, diz que deverá haver funções de detecção e mitigação sem prejuízo de que pelo menos uma dessas funções possua a responsabilidade de prever o monitoramento de metadados de tráfego de rede para identificação de padrões anormais. A prestadora deverá ainda habilitar recursos para verificação da integridade dos dados trafegados nas redes 5G.
Determinações técnicas específicas
O governo é explícito ainda em determinar que a operadora deverá implantar o "isolamento de segurança NFV (Network Function Virtualization) como uma solução end-to-end que estará, obrigatoriamente, disponível nos equipamentos a serem utilizados, os quais adotarão ao menos os padrões nos moldes do SEC009 (Multi-tenant hosting management security) e do SEC002x (Security feature management of open source software), definidos pelo ETSI (European Telecommunications Standards Institute)". Ou seja: coloca a obrigatoriedade de uso de NFV com determinados protocolos específicos e necessitando de aplicação fim a fim.
Outra obrigação é a de habilitar utilização do protocolo IPV6 "a fim de se evitar o tráfego de dados forjados, sem prejuízo da proteção da origem dos dados trafegados". Também implica que todas as operadoras deverão habilitar camada de criptografia, "em conformidade com as normas expedidas" pela Anatel.
Colocada como uma medida de segurança, a diversidade de operadoras "por região e por faixas de frequência" é sugerida com o intuito de promover a concorrência e qualidade dos serviços, mas também para garantir a continuidade da prestação no caso de falha de uma determinada operadora ou fornecedor. Da mesma forma, diante de um possível ataque para derrubar um nó de rede, a operadora deverá "sempre que possível, selecionar o nó com menor prioridade, ou seja, aquele que não afete as infraestruturas críticas".
Auditoria
Há a indicação da preferência por softwares de infraestrutura 5G em padrão abertos e "passíveis de auditoria em termos de segurança". Conforme indica o item XV: "é obrigatória a utilização de processos de auditoria que assegurem a segurança cibernética dos sistemas utilizados na rede 5G, podendo ser fornecidos de forma conjunta com as prestadoras de serviços e empresas interessadas em fornecer tecnologia 5G". Essa auditoria deverá englobar empresas, consumidores, parceiros e instituições de pesquisa, além do próprio governo. Segundo informa o documento, o incentivo ao trabalho conjunto tem como objetivo obter "informações essenciais para a tomada de decisão sobre a possibilidade de uso dos equipamentos ofertados".
Um órgão central para o sistema de auditoria será designado. Ele verificará a conformidade com os requisitos mínimos estabelecidos pelo Gabinete de Segurança Institucional da Presidência (GSI) e com "outros requisitos que vierem a ser estabelecidos ou adotados pelo órgão". Todos os incidentes de segurança cibernética deverão ser informados "imediatamente" ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do GSI.
Brecha
Às teles cabem a disponibilidade, integridade e confidencialidade no tráfego da rede 5G, mas sem prejuízo, "em caso de comprometimento da segurança, da esfera penal, cível e administrativa". No caso de ocorrer uma "grave falha", intencional ou não, que comprometa os dados pessoais, tanto as operadoras como os fornecedores subcontratados responderão de acordo com suas responsabilidades.
Há de se mencionar que, apesar de procurar coibir a ocorrência de backdoors, o item XX diz: "as prestadoras de serviço deverão fornecer mecanismos que possibilitem inspeção, inclusive a sua auditoria, em equipamentos em produção, até mesmo com a retirada de hardware para avaliação em laboratório". Além disso, as operadoras deverão monitorar mensalmente os estados de configuração dos equipamentos, com dados de topologia e versões de hardware e software para "auxiliar a atividade de auditoria".
