A União Europeia divulgou relatório sobre riscos quanto à segurança cibernéticas das redes de comunicação através da tecnologia de quinta geração – 5G. O relatório  foi elaborado pelo Grupo de Cooperação para Redes e Sistemas de Comunicação (NIS Cooperation Group), com a participação da Comissão Européia e a Agência Européia para segurança cibernética (EU Agency for Cybersecurity – ENISA). E, ainda, o relatório foi preparado após a consulta a 28 (vinte e oito) países membros da Comunidade Européia a respeito dos riscos de ataques cibernéticos às redes 5G. Estima-se que o mercado de 5G movimentará  225 (duzentos e vinte e cinco) bilhões de euros em 2025. E o impacto da tecnologia de 5G será significativo em relação à indústria, ao comércio, setor automotivo, saúde, transporte e energia, entre outros.

Destaca o documento que o mercado de telecomunicações é caracterizado por empresas globais que são fornecedoras de equipamentos de redes para as operadoras. Os principais fabricante são Huawei, Ericsson e Nokia. Outros fornecedores são ZTE, Samsung e Cisco. Dois dos fornecedores globais estão situados na União Europeia: Ericsson e Nokia, os demais estão fora da União Europeia. Há diferenças significativas entre as regras de governança corporativa em termos de transparência e modelo de propriedade das empresas européias em relação às demais empresas.  Nota o relatório que as principais ameaças às redes de 5G podem acarretar a interrupção da própria rede, espionagem do tráfego e dos dados na infraestrutura de rede, modificação e/ou novo roteamento do tráfego e dos dados através da infraestrutura de rede, a destruição ou alteração das infraestruturas digitais ou sistemas de informação,  através das redes. São riscos que podem causar afetar a disponibilidade das redes, a confidencialidade e a integridade. As ameaças podem vir de diversas fontes: acidentes, atividades por hackers, grupos ativistas, grupos criminosos, atores estatais ou apoiado por estados, terroristas cibernéticos, corporações privadas, entre outros.

Em relação aos riscos das operações das redes móveis de comunicação, são destacadas as seguintes vulnerabilidades: i) no design e arquitetura das rede, ii) segurança física  das redes e infraestruturas de tecnologia de informação; iii) políticas de acesso local e remoto as componentes da rede, iv) insuficiência de protocolos de segurança no processo de compras de equipamentos pelos operadores, v) processos de gestão de controle para evitar erros humanos nas mudanças de configuranção de acesso não autorizado.

Destaca, ainda, o relatório que uma das principais vulnerabilidades nas redes de 5G é devido ao risco de interferência por países estrangeiros.

Segundo o relatório: i) há forte vínculo entre o fornecedor e o governo de um terceiro país, ii) a legislação do terceiro país, especialmente aonde não há legislação ou controle democráticos de “checks and balances”), iii) ou na ausência de acordos para a segurança ou proteção de dados entre a União Europeia e o terceiro país, iv) as características do regime de propriedade corporativa do fornecedor de equipamento de 5G, v) a capacidade de terceiro país exercer qualquer forma de pressão, inclusive retaliação em relação à fabricação do equipamento.

Portanto, o estado de vulnerabilidade da rede 5G está caracterizado pela dependência de um fornecedor individual, dificultando-se a busca de soluções tecnológicas específicas de outros fornecedores. Assim, para a União Europeia, os operadores de telecom nela situados, estão expostos a diversos riscos derivados do fornecedor. Falhas deste fornecedor podem comprometer a confiança nas redes de 5G. Além disto, a falta de diversidade de fornecedores aumenta a vulnerabilidade da infraestrutura de 5G.

O relatório foi adotado no contexto da recomendação da Comissão Europeia para a estratégica comum para a seguranças das redes 5G.  O tema é considerado essencial para o posicionamento da União Européia em sua relação com a China, expressado no documento EU-China, a Strategic Outlook. Assim, no nível de cada país, deve-se atualizar a regulamentação das medidas de segurança em relação às redes de comunicações 5G, com obrigações para fornecedores e operadores em termos de certificação dos produtos. Também, os Estados-membros devem adotar medida em relação às compras governamentais de tecnologia 5G. Deste modo, cada Estado-membro deve avaliar o risco nacional em relação ao 5G. Por sua vez, no nível da União Europeia, com o apoio da Agência de Segurança Cibernética, há diversos instrumentos como a Diretiva sobre a Segurança das Redes e Sistemas de Informação (Directive on Security of Network and Information Sytems) e a Lei sobre Segurança Cibernética (Cybersecurity Act). Na Recomendação da Comissão Européia sobre a segurança cibernética das redes 5G aponta-se os riscos de investimentos estrangeiros em setores estratégicos do ponto de vista da infraestruturas críticas, bem como o fornecimento de equipamentos críticos que podem a ameaçar a segurança da União Européia. Deste modo,  recomenda-se que os estados-membros considerem em suas políticas públicas de segurança cibernética o risco de influência por terceiros países, principalmente em relação ao modelo de governança corporativa, a ausência de acordos de cooperação em matéria de segurança, as decisões de  proteção de dados entre a União Europeia e o terceiro país, a existência de acordos bilaterais em termos de segurança cibernética, políticas de combate aos crimes cibernéticos, etc. Os estados-membros devem desenvolver ações coordenadas com as instituições europeias, para a construção de uma matriz de avaliação de riscos nacionais em relação ao 5G. E, como medidas de mitigação de riscos, a certificação por entidades independentes em relação ao hardware, software ou serviços relacionados à tecnologia 5G. Também, os estados-membros devem adotar as medidas de segurança contra acessos não autorizados da faixa de frequências destinada ao 5G.