| Publicada no Teletime | Após os questionamentos do Escritório Federal de Segurança da Informação da Alemanha (BSI, na sigla original em alemão) sobre a segurança do OpenRAN, a O-RAN Alliance publicou ainda no final do ano passado as iniciativas do grupo de foco em segurança (SFG, na sigla em inglês) para especificações da arquitetura. Conforme a entidade, vários fluxos de trabalho estão procurando abordar o tema, estabelecendo padronização para a utilização segura do ambiente aberto de redes de acesso.

A O-RAN Alliance, que reúne diversas operadoras, fornecedores e academia, pretende entregar especificações de segurança que “vão cobrir a maior parte da arquitetura O-RAN em meados de 2022”. Após a aprovação das especificações, o progresso será publicado entre março e abril deste ano.

A ideia é que isso esteja consistente com especificações do 3GPP, aceitando que “aspectos operacionais estão fora do escopo” dessas medidas técnicas, e que as próprias operadoras precisam realizar ações para reduzir os riscos em suas redes. Por outro lado, indica que mudanças que sejam necessárias nas especificações do 3GPP deverão ser tratados naquele âmbito para uma aplicabilidade mais abrangente.

O post no blog da O-RAN Alliance tem autoria de representantes da Orange e Altiostar e foi enviado pela entidade também como resposta a questionamentos feitos por Teletime no começo de dezembro, mas sem responder diretamente à autoridade alemã. Representantes de várias operadoras (como AT&T, China Mobile, Deutsche Telekom e Telecom Italia) e fornecedores (como Cisco, ZTE, NEC, Ericsson e Nokia) assinam ainda como colaboradores.

A entidade diz que várias das interfaces entre módulos na arquitetura do OpenRAN podem criar uma superfície de ataque maior, mas que “várias dessas interfaces já existem também em implantações não abertas da RAN, na qual não há descrições ou requerimentos explícitos sobre as implantações de segurança”. A aliança acredita que, por ter natureza aberta, poderia ser mais segura do que implantações proprietárias baseadas em “segurança por obscuridade”.

Baseado em risco

O modelo da análise das especificações de segurança do SFG da O-RAN Alliance é baseado em risco de ameaças e feito de acordo com a norma ISO 27005 para definir o que na arquitetura consegue reduzir esse fator. Além de promover o desenvolvimento dos requerimentos e princípios de segurança que devem ser adotados por operadoras e fornecedores, proporciona um quadro de avaliação de risco que pode ser utilizado para se identificar o quanto a ameaça é crítica e o potencial de ocorrência e de danos.

Uma diferença é que na versão 3.0 dos protocolos de segurança, a O-RAN Alliance coloca como mandatório o suporte à especificação TLS 1.3, de acordo com a diretiva do Instituto Nacional de Padrões e Tecnologia (NIST) com efeito até o dia 1º de janeiro de 2024. Outros itens estão sendo abordados em grupos de trabalho, incluindo segurança no ambiente O-Cloud, na interface de frounthaul e nas análises de risco com consideração à “arquitetura de confiança zero”.