Uma avaliação sobre os riscos de segurança da tecnologia 5G elaborada pelos países membros da União Europeia (UE) colocou a interferência direta e indireta de outras nações de fora do bloco como a “mais séria e mais provável” ameaça aos serviços de telecomunicações da região após a adoção da quinta geração de redes.
Publicado na última quarta-feira, 9, pelo grupo de cooperação para redes e sistemas de comunicação do bloco (NIS Cooperation Group), com apoio da Comissão Europeia e da EU Agency for Cybersecurity (ENISA), o relatório reuniu avaliações de 28 países feitas após determinação da UE em março. O trabalho deve servir como base para a definição, até o final do ano, de um conjunto de medidas de segurança para o 5G na região.
Para a comissão, entre os “desafios” trazidos pela tecnologia estão o aumento dos pontos passíveis de ataques (seja por conta da descentralização da rede ou pela massificação da Internet das Coisas), a dimensão de eventuais danos em caso de interrupção de serviços críticos (como fornecimento de energia, transportes ou saúde amparados pelo 5G) e a maior importância de fornecedores de equipamentos e serviços no ambiente do novo padrão.
Ainda que brechas de nenhum player em específico tenham sido mencionadas, o relatório revelou uma preocupação especial com empresas oriundas de países de fora da UE. Este é o caso de chinesas como a Huawei, que enfrenta boicote dos EUA por conta de acusações (ainda não comprovadas) de espionagem.
“A probabilidade de um fornecedor estar sujeito a interferências de países não pertencentes à UE é um dos aspectos-chave na avaliação de vulnerabilidade não-técnicas”, afirmou o documento. “Ameaças representadas por estados ou por atores patrocinados por eles são os riscos mais sérios e prováveis à segurança das redes 5G”, completou.
O relatório também conceituou como fornecedor “vulnerável” empresas que tenham “fortes laços” com governos de fora do bloco, especialmente se tratando de países sem “verificações legislativas e democráticas” ou acordos de segurança e proteção de dados com a UE. Ainda segundo o documento, “vários estados-membros identificaram que certos países não pertencentes ao bloco representam uma ameaça cibernética específica para seus interesses nacionais”. O estudo não chega a citar nenhum país com tais classificações.
Já na única vez que cita a Huawei nominalmente, o relatório coloca a empresa como principal fornecedora da cadeia de telecom, ao lado de Ericsson e Nokia (ambas de origem europeia). Em seguida, a comissão observou que a governança corporativa das competidoras apresenta “diferenças notáveis” em termos de transparência e estrutura societária. A União Europeia ainda recomendou que operadoras evitem a dependência de um único fornecedor.
Vulnerabilidades
Do ponto de vista técnico, o grupo de trabalho destacou que a maior importância do software no 5G deve ser vista com cuidado. “Isso pode trazer benefícios, permitindo atualizações e correções facilitadas de vulnerabilidades. Ao mesmo tempo, esse aumento da dependência do software e a necessidade de atualizações frequentes aumentam significativamente o papel de fornecedores terceirizados e a importância do gerenciamento robusto de procedimentos”.
O relatório ainda destacou que a adoção de uma camada de edge computing (com capacidade computacional mais próxima do usuário) e de arquiteturas descentralizadas de rede devem aumentar o número de equipamentos sensíveis em atividade, ampliando riscos. A comissão também pontuou que novas vulnerabilidades que afetem elementos como SDN/NFV (incluindo sistemas de nuvem) devem surgir nos próximos anos.
Por último, a comissão europeia observou que a definição de padrões para a tecnologia não deve ser suficiente para abrandar todos os temores. “O 3GPP tem abordado preocupações relacionadas à segurança 5G, defendendo, entre outras coisas, a criptografia de ponta a ponta. No entanto, o trabalho realizado por esses órgãos não trata de preocupações de segurança relacionadas à implantação e configuração da tecnologia.”