Esta semana, a diretora executiva da Europol, Catherine De Bolle, criticou a quinta geração da telefonia móvel porque deve dificultar o combate ao crime. As forças policiais europeias não estão convencidas de que poderão rastrear suspeitos de maneira efetiva com a chegada do 5G. Globalmente, as empresas terão que mudar o jeito como gerenciam a segurança das informações e quais ferramentas serão adotadas. Para Juan Pablo Zuluaga, gerente de Soluções para Mobile da Thales Brasil, em entrevista exclusiva à Security Report, as organizações devem se preparar classificando seus dados segundo as suas sensitividades e definindo as políticas de acesso, proteção e integridade.
Security Report: Com a chegada do 5G, como as empresas devem se preparar para garantir a segurança e proteção de dados em dispositivos móveis?
Juan Pablo Zuluaga: O 5G promete uma variedade de casos de uso, desde uma banda larga enriquecida, que implica mais dados e mais velocidade; IoT massivo permitindo a conectividade de bilhões de aparelhos com as mais variadas necessidades e uso de informações (baixo consumo de potência, bateria de vida estendida,..); comunicações críticas usadas para serviços vitais ou emergências onde as latências são proibidas (cirurgias remotas, serviços de e-health por exemplo) e para serviços avançados como veículos autônomos que interagem com infraestrutura e objetos em movimento.
Para tais fins, o 5G se alavanca em diferentes conceitos de TI adaptados e padronizados para redes móveis (virtualização, cloud, slicing de rede, edge computing) e que permitem o compartilhamento de recursos computacionais (seguindo um conceito de rede de redes) e o processamento ultra rápido de dados em descanso ou em movimento.
Esses conceitos implicam desafios importantes em segurança e privacidade de dados. As empresas devem se preparar classificando seus dados segundo as suas sensitividades e definindo as políticas para seu acesso, sua proteção e integridade (criptografia, tokenização, gestão remota de chaves). As chaves que protegem os dados devem ser armazenadas em aparelhos dedicados para esses fins como os HSM ou SE (Secure Elements) e geridas com políticas definidas que contemplem trocar, rotar, apagar e definir chaves e algoritmos para garantir controle de acesso aos dados sensíveis.
Por outro lado, tendo em vista as interações de diferentes entidades quando envolvermos comunicações móveis, é importante contemplar autenticações mútuas (a rede autentica o dispositivo e o aparelho autentica a rede).
Essa autenticação mútua forte é crucial para permitir serviços confiáveis. As soluções de segurança de hoje já são um mix entre a segurança na ponta (dispositivo) e a segurança no núcleo (rede). Várias estruturas de segurança poderão coexistir no futuro e as redes 5G provavelmente reutilizarão as soluções existentes usadas atualmente para as redes 4G e para a nuvem (SEs, HSM, certificação, provisionamento Over-The-Air e KMS).
É importante contar com a possibilidade de contemplar novos algoritmos ou chaves de maior tamanho para conseguir adaptar e proteger diante o dinamismo das brechas de segurança que seguirão evoluindo conforme a tecnologia e o poder computacional avançam.
Daí a importância de sempre evoluir a segurança dos SIMcards e das plataformas Over-the-Air que permitem a gestão remota e segura delas. Na Thales já estamos estudando como garantir a segurança criptográfica para evitar sua quebra pela computação quântica. Vale lembrar também que, com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), as operadoras precisam tomar ainda mais cuidados com os dados que armazenam e trafegam de seus usuários. Isso deve aumentar a demanda por soluções de segurança e proteção da informação.
Security Report: Como preparar a infraestrutura de TI para deixá-la mais segura com a chegada do 5G?
Juan Pablo Zuluaga: A implementação das redes 5G, ao mesmo tempo em que as redes 3G e 4G continuam funcionando, provavelmente desencadeará um novo desafio para as operadoras de telefonia móvel com relação à capacidade das frequências no espectro (especialmente se ocorrer o volume em massa previsto na internet das coisas). As redes de telefonia móvel precisarão operar, então, um novo espectro na faixa de 6 a 300 GHz, o que significa investimentos maciços em infraestrutura de rede.
A gestão da privacidade do usuário é cada vez mais vista como algo crucial nesta nova sociedade digitalizada. Essa realidade pode prejudicar as operadoras móveis e o que mais importa para elas, a relação com seus usuários: sua reputação e, portanto, a confiança depositada nelas. Em particular, a identidade do assinante móvel está em jogo, ou seja, sua Identidade de Assinante Móvel Internacional, também conhecida como IMSI, usada para identificar o usuário de uma rede móvel e uma identificação única associada a todas as redes móveis. Graças ao equipamento receptor IMSI, os IMSIs podem ser facilmente utilizados para localizar, rastrear indivíduos e coletar dados. A anonimização completa da identidade do assinante de ponta a ponta, ou seja, do dispositivo à rede básica é necessária: isso pode ser imposto às operadoras móveis por meio de regulamentações rigorosas (por exemplo, GDPR ou LGPD) ou implementadas pelas operadoras móveis como parte de sua própria política de segurança/estratégia.
Security Report: Qual o futuro do chip dos dispositivos móveis com a chegada do 5G? Já virão com segurança embarcada e qual o nível de segurança que o meio físico garantirá?
Juan Pablo Zuluaga: Um SIM 5G é um elemento seguro inviolável e a única solução permitida que garante o acesso à rede 5G. Ele foi especificado pelo órgão de padronização 5G ETSI-3GPP para as especificações UICC Release 15 (UICC: Universal Integrated Circuit Card, mais conhecido como SIM). Ele aborda diretamente os principais atributos da tecnologia 5G: banda larga móvel avançada, serviços de IoT massivos e comunicações críticas.
A SIM 5G é já uma realidade, cobrindo as necessidades de algoritmos de autenticação mutua, privacidade do IMSI, proteção extremo a extremo, melhorando a experiência do usuário permitindo a sua conexão em redes de todo tipo.
Está sendo usada nos lançamentos comerciais iniciais de 5G e prevê a sua evolução conforme o avanço da padronização ao redor de 5G (fases 1 e 2 previstas para 2020 e 2022).
O relevante do caso é que pela conceição de segurança envolvida e pelos princípios de compatibilidade com redes anteriores à 5G, as SIM 5G estão sendo usadas para a implementação de casos de uso ainda em redes 3G e 4G permitindo autenticações fortes, assinaturas digitais, incremento de segurança para redes privadas (usadas por órgãos estatais ou de segurança civil ou federal), armazenamentos seguros de biométricos.
Encontramos então diversos casos de uso que motivam á indústria hoje para semear a rede com SIM 5G oferecendo valor e novos negócios desde já, mesmo se implementação da rede 5G se planeja para depois. Em 2024, a rede 5G alcançará 40% de cobertura populacional e 1,5 bilhão de assinaturas, tornando-se a geração mais rápida a ser lançada em escala global.
Security Report: Há uma preocupação de o 5G acelerar também a quantidade de vulnerabilidade nos dispositivos móveis em função da agilidade nos ataques, que hoje já são cada vez mais em massa. Como os CISOs podem mitigar esse tipo de risco?
Juan Pablo Zuluaga: Conhecendo e classificando seus dados segundo o grau de sensibilidade, protegendo os dados sensíveis usando dispositivos aplicados para esses fins como os HSM e SE (secure element), definindo políticas de gestão da segurança (cerimônia de chaves, políticas de rotação, mudança, apagado, designação e criação de chaves) e políticas de controle de acesso. Realizar as implementações considerando separação lógica e/ou física das camadas de apresentação, aplicação e base de dados, garantir a gestão de chaves gerida pela organização para proteger os seus dados mesmo se estiverem numa nuvem pública ou privada administrada por terceiros e acompanhar a tecnologia para definir os algoritmos adaptados a realidade computacional do dia.
Security Report: Como a Thales vem orientando a sua base de clientes sobre a chegada do 5G?
Juan Pablo Zuluaga:Como especialista em segurança e participante ativo nos avanços da padronização e nos lançamentos comerciais de 5G, a Thales vem consolidando e difundindo as considerações requeridas e lições aprendidas para esta nova geração tecnológica. Oferecemos também os blocos tecnológicos de base para as empresas se prepararem para a chegada do 5G como a SIM 5G, HSE (Hugh speed encryptors, que permitem maior velocidade para operações criptográficas na camada de enlace permitindo maior eficiência no uso da banda larga disponível), HSM, SE, Soluções de administração remota Over-the-air adaptada para a nuvem, serviços de consultoria.
Security Report: Quais as maiores brechas que poderão surgir com o 5G?
Juan Pablo Zuluaga: As brechas serão potencialmente as mesmas que conhecemos hoje, adaptando as técnicas, aproveitando o crescimento exponencial de poder computacional. Estamos falando de suplantações de identidade, ataques de DDoS, phishing, spoofing, ransomware etc, com o agravante do impacto que pode ser alcançado dada a criticidade de casos de uso que promete a tecnologia.
A medida que as smartcities, smartutilities, carros autônomos, drones, operações cirúrgicas remotas progridem o potencial impacto de um ataque pode ser catastrófico, razão pela qual estes temas estão na agenda da segurança nacional dos estados e tratado por especialistas de segurança que aportam na padronização da tecnologia.
Se você quer ficar por dentro das principais tendências de segurança da informação, não perca o Security Leaders São Paulo, que acontece entre 29 e 30 de outubro.