Ericson M. Scorsim. Doutor em Direito pela USP.  Advogado, com foco no Direito da Comunicação. Autor do livro Temas de Direito da Comunicação na Jurisprudência do Supremo Tribunal Federal.

O governo Reino Unido, através do Centro Nacional de Segurança Cibernética (National Cyber Security Centre – NCSC), anunciou as regras de segurança nas redes de telecomunicações baseadas na tecnologia 5G.  A gestão dos riscos de segurança cibernética das redes de telecomunicações é compartilhada pelo governo, operadores de telecomunicações, Ofcom (agência reguladora das comunicações) e a indústria.

Em relação à gestão de riscos do setor de telecomunicações, a NCSC considerou a questão da cadeia de fornecimento de equipamentos. Entre os quais: i) a dependência nacional em relação a qualquer vendedor, especialmente aqueles que representem alto risco; ii) falhas ou vulnerabilidades nos equipamentos de rede; ii)  a ameaça de backdoor, o embarcamento de agente maligno na funcionalidade nos equipamentos do vendedor; iii) o acesso administrativo pelo vendedor para fornecer equipamento e/ou suporte ou parte da gestão dos serviços relacionados ao contrato. No documento denominado Security analysis for the UK telecoms sector, registra-se: “The dominance of a vendor across networks would create a national dependency which exposes two vulnerabilities: i) a lack of resilience as low vendor diversity increases the risk of the impact of any systemic failures or hostile exploitations, and (ii) due to the critically of telecoms CNI to national security, a national dependency automatically gives rise to a national risk, National dependence also risks giving inappropriate strategic economic leverage to a company, or a national state”. Assim, a regulamentação dispõe sobre os critérios para a atenuação de riscos em relação à tecnologia 5G. Detalhes estão previstos no denominado Telecoms Supply Chain Review.  Fornecedores de tecnologia de 5G considerados de alto risco são excluídos do fornecimento de parte sensíveis da rede, denominada  a parte central (core). Além disto, é estabelecido um teto máximo de 35% (trinta e cinco por cento) para o acesso às partes não sensíveis da rede 5G pelos fornecedores considerados de alto risco.

O National Cyber Security Center, autoridade responsável pela segurança cibernética do Reino Unido e ligado aos serviços de inteligência, definirá as diretrizes para os operadores de redes de telecomunicações em relação às diretrizes de segurança, a ser definida em legislação futura. Deste modo, fornecedores de alto risco devem ser: i) excluídos das redes críticas relacionadas à infraestrutura nacional crítica; ii) excluídos das funções centrais das redes, a parte sensível da parte; iii) excluídos de localizações geográficas sensíveis, tais como  instalações nucleares e bases militares; iv) limitada a presença minoritária a não mais que 35% (trinta e cinco) por cento) em relação à periferia da rede, conhecido como a rede de acesso, a qual conecta os dispositivos e equipamentos de telefonia móvel.  O objetivo estratégico do governo britânico, ao limitar a participação de fornecedores de alto risco, é contribuir para a diversificação na cadeia de fornecimento de equipamentos de rede 5G. Na prática, a empresa chinesa Huawei é permitida a participação nas redes de 5G do Reino Unido, porém de modo restrito, uma vez que classificada como fornecedora de alto risco. Assim, a Huawei poderá fornecer equipamentos para a parte periférica, considerada como a rede de acesso por ondas de rádio (radio acess network – RAN). Esta parte RAN inclui o fornecimento de estações base e antenas, que fazem a conexão entre o telefone móvel e a parte central da rede.

Como já referido acima, a Huawei não poderá fornecer equipamentos nas áreas centrais da rede de 5G, bem como em áreas sensíveis como instalações nucleares e áreas militares. Também, sua participação na parte periférica da rede 5G é limitada a 35% (trinta e cinco por cento). O National Cybser Security Centre define os critérios para qualificar um fornecedor de alto risco. Dentre os critérios estão os seguintes: i) a posição estratégica do fornecedor na escala da rede do Reino Unido; ii) a posição estratégica do fornecedor em outras redes de telecomunicações, especialmente se o  fornecedor é novo no mercado britânico; iii)  a qualidade e a transparência da práticas de engenharia do fornecedor e controles de segurança cibernética; iv) o comportamento e práticas do fornecedor no passado; v) a resistência da fornecedora  em relação aos padrões técnicos e relação com a continuidade de fornecimento para os operadores do Reino Unido; vi) o número de considerações relacionadas à propriedade e localização da operação do fornecedor, incluindo a influência do aparato estatal doméstico sobre o fornecedor (formalmente e informalmente), se o estado nacional e atores associados possuem uma capacidade cibernética ofensiva que pode ser utilizada contra interesses britânicos; se há componente significativo das operações do negócio submetida às leis de segurança nacional as quais permitem a direção externa de modo a conflitar com a legislação britânica.  E, ainda, National Cybersecurity Centre (NCSC) define as áreas de funcionamento das áreas que não pode ser acessadas por fornecedores de alto risco.  Dentre elas: áreas centrais, de autenticação de usuários, armazenamento de dados, divisão da rede,  controle da rede, gerenciamento da rede, pagamentos, análises, entrega de mensagens, ativação por voz, roteamento de dados, etc.[1]

[1] NCSC advice on the use of equipment from hight risk vendors in UK telecoms networks. The NCS’S guidance for the risk management of hight risk vendors in telecomunications networks. Ver. www.ncsc.gov.uk.