În primul rând este tehnic și acoperă o arie mai largă, de la organizare securitate fizică, management operațional până la teste, mentenanță și scenarii de disaster recovery.

Am să listez mai jos câteva puncte cheie dintre reglementările din Germania de luat în calcul și care are fi interesant de inclus și în reglementările din România.

Diversitate

Diversitate în sensul de furnizori. Să ai în arhitectura sistemului componente de la mai mulți producători. Să nu depindă tot sistemul de un singur producător că poate să iasă nasol la un moment dat.

Te poți trezi că furnizorul nu mai are piese deschimb sau că nu mai fabrică nu știu ce componentă sau pur și simplu e un bug care ți-ar da tot sistemul jos. E important să ai o arhitectură bazată pe cutii furnizate de diverși producători.

Parteneriat la nivel de securitate cu furnizorii

Da, trebuie să existe și așa ceva în sensul că furnizorii

  • să asigure servicii de verificare a securității echipamenetelor incluse
  • să furnizeze update-uri și să repare bug-uri periculoase care ar deschide portițe de securitate în sistemul clientului
  • să notifice din timp eventualele probleme
  • să nu copieze datele din sistemul clientului și să nu fugă cu ele
  • să studieze în permanență posibilele breșe de securitate și să pregătească soluții în acest sens

Chestiuni standard pe care ar trebui să le îndeplinească orice furnizor de echipamente pentru rețele de comunicații de anvergură națională.

Certificări pentru componentele și funcțiile de bază (core)

Operatorii sunt obligați să identifice componentele și funcțiile de bază ale rețelei pe care o operează și să raporteze acest lucru autorităților germane din domeniu (BNetzA și BSI).

În pasul doi, după raportare, o companie independentă și atestată trebuie să testeze independent și să certifice componentele în conformitate cu Regulamentul (UE) nr.2019/881 (Cyber Security Act).

Să ne asigurăm că furnizorii chiar fac ceea ce scriu în documentație.

Funcțiile și componentele cheie

Pentru că totul trebuie să aibă o definiție și nu există reglementări, cel puțin în Germania, care să nu acopere această parte, proiectul lor pune pe masă următoarele componente:

Managementul sesiunilor – adică partea care se ocupă de fluxurile de voce și date și care include autentificarea în rețea sau reciprocă între participanți și mecanismele de criptare.

Interfața între rețele – după cum îi spune și numele se referă la comunicarea între rețele mobile (roaming, comutare telefonică sau transmitere de date)

Și mă opresc aici pentru că nu vreau ca articolul să devină mult prea tehnic.

Ce vreau eu să scot în evidență este diferența de abordare între un stat preocupat cu adevărat de implementarea în siguranță a noilor rețele 5G și abordarea de la noi care impune îndeplinirea a 3-4 cerințe absolut non-tehnice.

Reglementările propuse de Germania le găsiți aici într-un document de 76 de pagini, iar cele propuse de România le găsiți aici în articolul anterior într-un document mai subțirel.

Și tot referitor la diferența de abordare, în Germania proiectul de lege este supus dezbaterii publice de pe 11 august până pe 30 septembrie și cel din România este supus dezbaterii publice din 4 august până pe 17 august.

Scor final: Germania – România: 50 zile vs 14 zile

Notă: acest articol este publicat în cadrul unei colaborări cu Huawei pe tema conștientizării fenomenului 5G la nivel European și în România.