Cibersegurança na era 5G: a rede traz novos desafios?

A rede de quinta geração que será ligada em Portugal na segunda metade de 2020 será uma evolução do 4G e a versão inicial será “non-standalone”, o que significa que se apoiará na rede já existente. Por isso, explica o diretor do 5G Hub da Vodafone Portugal, Pedro Santos, “as novas características que a quinta geração móvel vai trazer não representam riscos de segurança” no que diz respeito à rede.

No entanto, há uma preocupação alargada com as questões de segurança que serão abertas com o 5G, e isso ficou patente numa Recomendação emitida pela Comissão Europeia no ano passado. Nela, a CE declara que “garantir a ciberse­gurança das redes 5G é uma questão de importância estratégica para a União, num momento em que os ciberataques estão a aumentar e são mais sofisticados do que nunca.”

O problema não está na arquitetura da rede em si, mas no ecossistema interconectado que ela permitirá. “A dependência de muitos serviços críticos em relação às redes 5G faria com que as consequências de perturbações sistémicas e generalizadas pudessem ser particularmente graves”, explicou a CE nesta Recomendação, referindo ainda a necessidade de tomar medidas no seguimento da resolução do Parlamento Europeu “sobre as ameaças para a segurança resultantes do reforço da presença tecnológica chinesa na UE.” A controvérsia que rodeia a Huawei, que está na lista negra dos Estados Unidos e com restrições em vários mercados, não tem resolução à vista.

O diretor de pré-vendas de redes da Ericsson em Portugal, Luís Muchacho, sublinha que “a tecnologia 5G em si não traz desafios maiores ou menores de cibersegurança” mas considera que “existem riscos”, nomeadamente porque a rede vai endereçar entidades e serviços críticos que com gerações anteriores não eram abordados. “É importante que o ecossistema e que a rede 5G sejam escrutinados e cumpram todos os requisitos de segurança”, indica. 

Trata-se, sobretudo, de riscos ligados ao tipo de dispositivos ligados e aos serviços críticos em múltiplas entidades, o que por um lado aumenta exponencialmente o número de pontos de ataque e por outro torna as potenciais consequências muito mais graves.

É o que explica Vicente Huertas, CEO da Minsait em Portugal. “Atendendo ao aumento de capacidade de cômputo dos novos dispositivos inteligentes, somado com o aumento substancial da largura de banda para as comunicações que oferece o 5G, pode resultar uma maior incidência de ataques de Distributed Denial of Service (DDoS) e um incremento de casos de exfiltração de informação sensível”, afirma. Huertas aponta para a tendência dos dispositivos de Internet das Coisas – que serão ligados em massa por 5G – de terem falta de suporte adequado por parte dos fabricantes, o que se traduz em “diversas vulnerabilidades de software e firmware que aumentam a superfície de ataque.” Uma vez que estes dispositivos costumam estar ligados em paralelo às redes de TI, o atacante pode usar um dispositivo vulnerável para chegar aos recursos de armazenamento de informação ou bases de dados, se não forem implementadas “as devidas salvaguardas.”

Frederico Torres, diretor de pré-vendas do World Class Center Advanced Networks da Altran, refere que um operador no futuro vai ter milhões de sensores e equipamentos conectados a uma rede e isso resulta em “milhões de oportunidades de intrusão.” Sendo que nem todos os equipamentos terão inteligência suficiente para suportar todas as camadas de proteção, será preciso criar “ vários mecanismos, seja processuais seja em termos de soluções específicas, para criar estes tampões.”

E o facto é que, do ponto de vista de padrões, o 5G será uma rede mais segura que qualquer geração móvel anterior. Pedro Santos refere que a futura versão Standalone, que só deverá chegar em 2022, terá novas funções de segurança, como a implementação de algoritmos de encriptação com chaves mais robustas. Além disso, a virtualização das componentes da rede Core significa “uma redundância na rede e fragmentação da mesma que, se for atacada num dos seus nós, não tem impacto no serviço como um todo.”

No entanto, estamos a falar de uma rede com características únicas face ao passado. “O puzzle do 5G é composto por todo um ecossistema de terminais, aplicações e plataformas e não apenas a rede de operadores”, diz o diretor do 5G Hub. Com a nova geração, as aplicações que dependem da baixa latência e resiliência da rede e de Massive IoT vão multiplicar-se e abrir mais portas para o exterior. “Nesse sentido, o grau de exposição da rede móvel aumenta, sendo por isso necessário que todos os parceiros implementem os mesmos princípios de segurança” afirma. “Ao delegarem nos operadores a missão de coordenar as soluções end-2-end estarão a mitigar os riscos de forma muito considerável, uma vez que são abrangidos por todos os processos e procedimentos de segurança intrínsecos ao sistema.”

Então o que acontecerá com redes privadas de 5G, que podem ser montadas numa empresa da indústria ou num hospital, por exemplo? “Não sendo um operador não têm esse conhecimento intrínseco”, nota Frederico Torres. “É um grande desafio, para quem quiser endereçar as suas necessidades de forma mais fechada, criar a capacidade de gerir e capacitar em termos de conhecimentos [de segurança].”

Vicente Huertas sublinha, por isso, que “a implementação de um programa de Gestão de Risco Digital que permita controlar a segurança, desde a prevenção à previsão e a resposta perante as ameaças, é uma das recomendações da Minsait para todas as instituições que trabalhem interconectadas.” 

Pedro Santos, da Vodafone, considera que “todos os intervenientes no ecossistema que compõe o 5G devem ter como princípio base o ‘Security by Design’.” Além disso, aos procedimentos de teste e validação antes da implementação de equipamentos deve ser adicionado um processo contínuo de auditoria ao longo do seu ciclo de vida. “Se estes procedimentos forem seguidos por todos os intervenientes do ecossistema”, remata, “conseguir-se-á mitigar o risco de uma maior exposição da rede.”

Ana Rita Guerra, Los Angeles