.
Recurso patrocinado Uma das preocupações das operadoras de telecomunicações e de redes móveis (MNOs) na era das redes de quinta geração (5G) e da Internet das Coisas (IoT) são os possíveis riscos de segurança apresentados pelas tecnologias de comunicação em rápida evolução. E, em muitos casos, sua atenção se concentrou na segurança cibernética deficiente inerente a muitos produtos, softwares e serviços voltados para telecomunicações e na falta de transparência sobre seus recursos reais.
É provável que o problema piore no futuro, pois o número de dispositivos de equipamentos de rádio (RE) conectados à Internet continua a crescer em paralelo com a expansão da IoT. Portanto, não é surpresa que tantas organizações diferentes – incluindo reguladores, órgãos de padronização, instituições de certificação, associações industriais e as próprias empresas de telecomunicações/MNOs – estejam contribuindo ativamente para novas medidas destinadas a garantir a segurança das redes de telecomunicações e proteger a infraestrutura crítica contra as crescentes ameaças cibernéticas.
Em 2020, a União Europeia (UE) apresentou uma nova “Estratégia de Cibersegurança para a Década Digital”, que especificou áreas para melhorias na segurança cibernética. Isso inclui proteger os direitos básicos dos cidadãos da UE e a segurança digital, criar uma estrutura de gerenciamento de crises de segurança cibernética da UE e estabelecer um centro de operações de segurança que cubra toda a UE que monitore e alerte contra ataques cibernéticos.
Desde então, o aumento dos riscos de segurança cibernética galvanizou a UE para introduzir ou atualizar várias peças diferentes da legislação de segurança cibernética, incluindo a Diretiva de Segurança de Rede e Informação (NIS) 2, a Diretiva de Resiliência de Entidades Críticas (CER), a Lei de Resiliência Cibernética (CRA), e a Diretiva de Equipamentos de Rádio (RED). E para dar a seus clientes de telecomunicações as garantias de que precisam, o fornecedor de equipamentos ZTE fez esforços significativos para apoiar a conformidade com esses regulamentos em seu portfólio.
“A ZTE considera a segurança cibernética e a conformidade como premissa para sua operação de negócios no mercado”, disse o Sr. Zhong Hong, Diretor de Segurança da ZTE. “Os requisitos regulatórios relevantes são integrados aos nossos planos e ações regulares de garantia de segurança cibernética para todo o ciclo de vida do produto. Identificamos as lacunas, fazemos melhorias contínuas e mantemos uma comunicação próxima com os clientes para garantir a conformidade e conformidade de nossos produtos, processos e serviços.”
Segurança e governança mais fortes
A regulamentação mais rígida desafiou as empresas de telecomunicações e MNOs a garantir que possam construir infraestrutura segura e serviços confiáveis. O CRA, por exemplo, classifica produtos com base em categorias de risco de segurança cibernética e especifica requisitos para design de produto baseado em risco e processo de desenvolvimento e tratamento de vulnerabilidade.
Os padrões da indústria, os requisitos regulatórios e as melhores práticas moldam a estratégia de segurança cibernética, o design de segurança e as avaliações de segurança interna da ZTE. A empresa aplica princípios “seguros desde o design” no desenvolvimento de produtos e melhora o nível de segurança dos equipamentos de telecomunicações por meio do design, implementação e verificação.
Como um colaborador ativo da indústria para o desenvolvimento de padrões e aprimoramento da segurança cibernética, a ZTE adotou o Esquema de Garantia de Segurança de Equipamentos de Rede (NESAS) da GSMA, o Modelo de Maturidade de Segurança de Edifícios (BSIMM), a Estrutura de Segurança Cibernética NIST e as diretrizes de gerenciamento de riscos de segurança ISO. Ela também se alinha com as melhores práticas em P&D de produtos e prestação de serviços para que os produtos da ZTE sejam seguros por padrão. “Atualmente, a conectividade segura continua sendo vital para todos os aspectos da vida social e das operações diárias de quase todas as indústrias”, observou o Sr. Zhong.
De acordo com os requisitos de tratamento de vulnerabilidades da CRA, a governança de segurança cibernética baseada em risco da ZTE envolve o gerenciamento completo do ciclo de vida de componentes adquiridos de terceiros para obter correções rápidas de loop fechado e atualizações de segurança.
Monitorar e revisar a segurança de produtos e serviços – bem como a cadeia de suprimentos sob a perspectiva de pessoas, processos e tecnologia – é percebido como crítico. A garantia de segurança cibernética da ZTE suporta o rigoroso gerenciamento de segurança e controles de subfornecedores, materiais e fabricação, diz a empresa. Os pontos de controle de segurança são configurados para mitigar os riscos de negócios em áreas como P&D, serviços de engenharia e cadeia de suprimentos, onde os requisitos de segurança cibernética são incorporados aos modelos de avaliação de processos.
“Sistemas de gerenciamento online e painéis de dados são usados para auxiliar na avaliação do processo e inspeção especial de negócios de alto risco, para medir o efeito durante a implementação da estratégia e rastrear retificações e melhorias”, explicou o Sr. Zhong.
“No projeto de segurança, formulamos um sistema de requisitos técnicos de segurança cibernética e procedimentos operacionais com base nos padrões do setor. e segurança do sistema operacional do servidor.”
As equipes de avaliação interna da ZTE, independentes de P&D e entrega, supervisionam a implementação dos requisitos regulatórios em produtos e unidades de negócios. As equipes usam as principais ferramentas do setor para realizar avaliações de segurança abrangentes que atendem aos requisitos regulamentares e aos padrões oficiais do setor.
As avaliações incluem revisão do código-fonte, varredura de vulnerabilidade e testes de fuzz e penetração para estudar e melhorar os recursos de segurança incorporados nos produtos. Avaliações adicionais mantêm as unidades de produtos e negócios alertas e responsivas a qualquer necessidade de recursos aprimorados. Mesmo que a ZTE continue a adotar padrões de segurança rígidos com base na classificação de produtos e avaliação de risco, a empresa também incentiva ativamente a avaliação externa e a certificação para verificação.
Transparência e confiança
Para aumentar a transparência e confiança, as iniciativas de garantia de segurança cibernética da ZTE são projetadas para ajudar operadoras e empresas a fazer escolhas informadas sobre produtos e serviços ciberseguros e receber proteção estendida em toda a cadeia de suprimentos ou em todo o ciclo de vida do produto/serviço.
“A ZTE mantém uma atitude de abertura e transparência, cumpre as leis e regulamentos onde os negócios acontecem e adota e desenvolve as melhores práticas de segurança na indústria”, afirmou o Sr. Zhong. “Por um lado, obtemos ativamente certificações de segurança para fornecer aos clientes referências e garantias autorizadas e confiáveis de terceiros. Por outro lado, aprimoramos continuamente a tecnologia de segurança no design de produtos e verificamos o status de segurança de nossos produtos.”
E a empresa não apenas contribuiu para o desenvolvimento de padrões de segurança, mas também orientou implementações bem-sucedidas. Os comentários dos clientes sobre suas necessidades de segurança são incorporados às estratégias para melhorar constantemente o design de segurança. As avaliações e certificações de segurança de terceiros independentes aumentam esses esforços para garantir aos clientes que os produtos e serviços são seguros e confiáveis.
Em janeiro de 2023, a ZTE se tornou a primeira fornecedora de equipamentos 5G com um produto 5G New Radio (NR) certificado pelo Escritório Federal de Segurança da Informação da Alemanha (BSI) sob o Esquema de Certificação de Cibersegurança NESAS – Implementação Alemã (NESAS CCS-GI) para redes 5G . Além de atender aos requisitos de processo e especificações de segurança, a experiência prática da ZTE também contribuiu para o avanço da certificação.
“Além disso, a solução 5G RAN da ZTE foi certificada com o nível CC EAL 3+, que é o nível mais alto alcançado por um sistema completo no campo das telecomunicações”, diz o Sr. Zhong. “Também passamos na avaliação de processo GSMA NESAS 2.1 para fornecedores de equipamentos de comunicação. Nossos equipamentos de rede 5G NR gNodeB e 5GC passaram na avaliação de segurança de produto NESAS (3GPP SCAS), alcançando a melhor cobertura entre os produtos 5G testados. Nossos produtos 5GC e RAN, como bem como os produtos 5G Flexhaul concluíram a avaliação BSIMM com um desempenho líder na indústria.”
Protegendo a infraestrutura crítica
Para reforçar a proteção física e a segurança cibernética em redes de infraestrutura crítica, a ZTE está trabalhando para ajudar as operadoras a identificar, detectar, prevenir e responder a incidentes de segurança. “Nossas soluções de segurança protegem contra ameaças em diferentes cenários”, destacou o Sr. Zhong. “Projetamos e desenvolvemos produtos seguros para aumentar a capacidade da rede de resistir a ataques e melhorar as operações e manutenção de segurança.”
Isso inclui uma solução de segurança que combate ameaças comuns à segurança da interface aérea 5G, como DDoS e falsos ataques à estação base, por exemplo. “Estamos planejando implementar e testar a segurança da criptografia de interface aérea em alguns projetos-piloto”, revelou o Sr. Zhong.
Para incorporar a segurança em seu software e hardware, a ZTE se concentra em Inicialização Segura, Raiz de Confiança, Porta de Depuração Restrita, Ambiente de Execução Confiável, bem como padrões e tecnologias relacionados à segurança de firmware.
Inteligência artificial (IA) e soluções analíticas avançadas são usadas na pesquisa e desenvolvimento de detecção de invasão de host, detecção de malware, inspeção de conformidade de configuração de segurança e detecção de ameaças de análise de correlação, por exemplo.
Não há dúvida de que as redes de telecomunicações seguras são essenciais para o sucesso de toda a economia global, bem como das empresas de telecomunicações e MNOs. Mas essas redes devem ser construídas em hardware estável e confiável para dar ao mundo as fortes defesas contra as ameaças de segurança cibernética de que ele precisa.
Patrocinado pela ZTE.
.
