22.08.2020 09:04
Proiectul de lege pentru implementarea 5G are nevoie de reguli clare și bine stabilite pentru a putea fi aplicat
Galerie foto
Ministerul Transporturilor, Infrastructurii și Comunicațiilor a publicat la începutul lunii un proiect de lege privind adoptarea unor măsuri referitoare la infrastructuri informatice și de comunicații de interes național și condițiile implementării rețelelor 5G. Proiectul este așteptat de mai bine de un an de către industria IT&C, dat fiind că va reglementa modul de dezvoltare a tehnologiei 5G și este premergător licitației pentru nou spectru de frecvențe. Din păcate, și acest proiect a fost făcut pe genunchi, fără consultarea companiilor din domeniu, menit doar să bifeze un punct din lista de probleme care trebuie rezolvate.
Problema este că preia automat anumite recomandări din Memorandumul pentru securitatea rețelelor informatice încheiat între România și SUA, ceea ce lasă loc interpretărilor subiective referitoare la companiile ce pot participa la dezvoltarea 5G. De asemenea, proiectul nu ține cont de prevederile setului comun de instrumente stabilit la nivelul Uniunii Europene, mai exact la măsurile tehnice și la necesitatea de a avea o abordare individualizată pe parcursul procesului de autorizare a companiilor participante.
În actuala formă, proiectul permite interpretarea subiectivă a condițiilor, astfel încât competitori în procesul de furnizare a echipamentelor să fie eliminați fără a avea motive reale și demonstrate. Războiul comercial dintre SUA și China a dus la crearea unor acuzații ale americanilor împotriva Huawei niciodată demonstrate, dar suficiente pentru o bază politică prin care producătorul de echipamente a fost restricționat în accesul la servicii și aplicații produse în SUA.
Mai exact, pe lângă considerentele de ordin general, proiectul de lege emis de MTIC și pus în dezbatere publică până pe 17 august, preia patru prevederi cuprinse și în Memorandumul 5G: producătorii de echipamente trebuie să nu se afle sub controlul unui guvern străin, în lipsa unui sistem juridic independent, să aibe o structură transparentă a acționariatului, să nu aibe un istoric de conduită corporativă neetică și să se supună unui sistem juridic care impune practici transparente.
Huawei a demonstrat în mai multe rânduri că respectă cele patru prevederi, de la structura transparentă a acționariatului la absența controlului guvernului din China asupra companiilor din grupul Huawei care activează în afara țării și se supun legilor din țara în care activează. Dar o interpretare subiectivă rămâne posibilă în absența unor reguli clare.
Modelul german
Un exemplu de abordare tehnică este cel al Germaniei, care are de asemenea un proiect de lege în dezbatere publică pentru implementarea tehnologiei 5G. Proiectul stabilește clar care sunt regulile ce trebuie respectate pentru funcționarea rețelelor de comunicații, anunță funcțiile cheie ale sistemului și prezintă modul de implementare.
Spre exemplu, în gestionarea fluxurilor de voce și date mobile este necesară o funcție de autentificare între participant și rețea, inclusiv o funcție efectuată de un operator public de rețea de comunicații, care se bazează pe chei de criptare ce sunt controlate și autorizate de autoritățile germane. Inclusiv interceptarea convorbirilor este menționată, iar aceasta poate fi realizată doar după procedura definită de lege și clasificată ca procedură-cheie.
Autoritatea națională responsabilă cu certificarea securității informatice a componentelor critice este Oficiul Federal pentru Securitatea Informațiilor (BSI). BSI este, de asemenea, responsabil pentru acreditarea națională a agențiilor de testare în cadrul național de certificare a securității IT.
BSI, în colaborare cu Agenția Federală a Rețelei, elaborează și publică orientări tehnice (TR) pentru rețelele relevante din domeniul de aplicare al prezentei anexe. Acest TR conține cerințe de certificare pentru componentele cheie, inclusiv mediul de utilizare și cerințele de operare, care sunt cerințe prealabile pentru certificarea validă. În plus, acesta descrie cerințele pentru furnizarea de dovezi de certificare în cadrul european de certificare (CSA).
Agenția Federală a Rețelei și BSI au elaborat în comun un document care enumeră funcțiile-cheie ale rețelei de telecomunicații. Pe baza unei analize comune a riscurilor, BNetzA și BSI identifică și listează funcțiile cheie pe baza celei mai recente tehnologii.
Lista este actualizată în mod continuu, pe baza unei evaluări comune a BNetzA și BSI, în special în cazul în care premisa subiacentă se modifică. Rezultatele analizelor de risc naționale sau internaționale, ar fi cele ale ENISA sau OAREC, sunt, de asemenea, luate în considerare aici.
Producătorii, asociațiile operatorilor publici de rețele de telecomunicații și asociațiile de furnizori de servicii de telecomunicații disponibili în mod deschis ar trebui să aibă posibilitatea de a-și exprima opiniile. Lista se publică în buletinul Agenției Federale de Rețea.
Condițiile pe care furnizorii de echipamente trebuie să le respecte pentru a fi autorizați ca surse de aprovizionare cu echipamente:
- Sursa de aprovizionare (cu echipamente de rețea) promite să lucreze îndeaproape cu clientul în domeniul tehnologiei de securitate, în special pentru a informa clientul cu privire la noile produse, noile tehnologii și actualizările liniilor de produse existente în timp util.
- Sursa de furnizare garantează că nu va transmite informații despre relația sa contractuală cu Utilizatorul sau cu oricare dintre instituțiile Utilizatorului către terți.
- Sursa de aprovizionare se angajează să se asigure, prin măsuri organizatorice și juridice, că informațiile confidențiale ale utilizatorilor sau ale utilizatorilor nu vor fi transferate în străinătate sau achiziționate de agenții străine, fie din proprie inițiativă, fie de către terți.
- Sursa de aprovizionare garantează că nu va transmite, din punct de vedere legal și de fapt, informații confidențiale despre utilizator sau informații confidențiale despre utilizator unei terțe părți. În special, nu există nicio obligație de a divulga sau de a pune la dispoziția terților astfel de informații în momentul depunerii declarației. Prezentul articol nu se aplică în cazul în care există o obligație legală de divulgare pentru a servi scopurilor investigațiilor penale, cu excepția cazului în care o astfel de obligație de divulgare se aplică agențiilor străine de informații sau de securitate. În caz de incertitudine, sursa de furnizare își specifică obligațiile legale de informare înainte de depunerea declarației.
- Sursa de aprovizionare se angajează să notifice utilizatorul în scris imediat atunci când nu este în măsură să garanteze respectarea în continuare a obligației declarate, în special atunci când apare sau este identificată o necesitate sau o altă obligație care îl poate împiedica să respecte obligația declarată.
- Sursa de aprovizionare se angajează să furnizeze informații specifice cu privire la dezvoltarea produsului componentelor sistemului de securitate ale produselor sale în urma unei anchete.
- Sursa de aprovizionare se angajează să investească numai personal de mare încredere în dezvoltarea și producția de componente critice ale sistemului de securitate.
- Declarația privind sursa de aprovizionare este de acord să aprobe și să sprijine pe deplin inspecția de securitate și analiza de penetrare a produselor sale, în măsura în care este necesar.
- Sursa de furnizare garantează că produsele sale declarate nu conțin vulnerabilități instalate în mod deliberat și nu le vor instala ulterior și că toate vulnerabilitățile neintenționate cunoscute au fost remediate sau vor fi remediate în viitorul apropiat și vor fi eliminate imediat.
- Sursa de aprovizionare se angajează să notifice imediat utilizatorul cu privire la orice vulnerabilități sau manipulări cunoscute și nou cunoscute, astfel încât să se poată lua măsuri timpurii pentru a limita și elimina posibilele consecințe ale defectelor de calitate. În cazul în care un producător obține informații care pot afecta siguranța și funcționalitatea produselor sale sau pot afecta buna funcționare a produselor, informațiile sunt comunicate imediat utilizatorului. În plus, producătorul promite să ofere recomandări de soluție imediată.
- Sursa de aprovizionare declară dacă și asigură în mod adecvat că componentele critice nu au caracteristici tehnice care ar putea avea un impact abuziv asupra securității, integrității, disponibilității sau funcționalității infrastructurii critice (de exemplu, prin sabotaj, spionaj).
Proiectul de lege german are reguli mult mai clare și ușor de urmat de către furnizori și producători. Proiectul MTIC va trebui refăcut sau completat pentru a putea fi aplicat companiilor din industria de telecomunicații.