Konsultacje dotyczące projektu nowej ustawy o krajowym systemie cyberbezpieczeństwa przygotowanej przez Ministerstwo Cyfryzacji dobiegły końca. Warto w tym kontekście kilka słów poświęcić Schematowi Zapewnienia Bezpieczeństwa Sprzętu Sieciowego (NESAS).

NESAS, czyli Schemat Zapewnienia Bezpieczeństwa Sprzętu Sieciowego, to test bezpieczeństwa cybernetycznego dla sprzętu telekomunikacyjnego i sieci mobilnych. Standard ten został stworzony przez stowarzyszenie GSMA (Global System for Mobile Communications Association) i jest pierwszym, szeroko uznanym na całym świecie standardem w branży telekomunikacyjnej, który weryfikuje dwa istotne obszary działalności:

  1. Rozwój i weryfikację cyklu życia produktu – aby sprawdzić, czy dostawca projektuje i buduje godne zaufania rozwiązania z wykorzystaniem możliwych do skontrolowania procedur.
  2. Bezpieczeństwo produktów – co pozwala dostawcom na całym świecie ujednolicić standardy bezpieczeństwa dzięki testom bezpieczeństwa sprzętu sieciowego, których wymogi zostały określone przez 3GPP SCSA i zaakceptowane przez zarząd NESAS.

Stanowi więc on ramy dla zapewnienia bezpieczeństwa w całej branży mobilnej, ułatwiając poprawę poziomu bezpieczeństwa. Jest to dobrowolny program, w ramach którego dostawcy sprzętu sieciowego poddają swój produkt i procesy związane z jego cyklem życia kompleksowemu audytowi bezpieczeństwa w odniesieniu do obecnie aktywnej wersji systemu NESAS i jej wymogów bezpieczeństwa. Gwarantuje on odbiorcom, że infrastruktura sieciowa podlega uznanym międzynarodowo testom oraz audytom.

W kontekście projektu ustawy o zmianie ustawy o krajowym systemie cyberbezpieczeństwa i kryteriów, jakie mają być brane pod uwagę przy doborze dostawców sprzętu lub oprogramowania, istotnego dla podmiotów krajowego systemu cyberbezpieczeństwa, w tym oczywiście przy budowie sieci 5G, warto wspomnieć o tym, że pomyślną weryfikację NESAS przeszła m.in. firma Huawei. Czyli firma, której “zarzuca się” brak zaufania i brak gwarancji bezpieczeństwa.

GSMA NESAS to najnowsze podejście do oceny bezpieczeństwa sieci komunikacji mobilnej. W erze 5G NESAS zapewnia znormalizowaną i skuteczną ocenę bezpieczeństwa cybernetycznego, co pozwala zapewnić uczciwość. Ocena jest również cennym punktem odniesienia dla interesantów, takich jak operatorzy, sprzedawcy sprzętu, rządowe organy regulacyjne i dostawcy usług aplikacyjnych. Huawei zawsze koncentrował się na podejściu do cyberbezpieczeństwa opartym o kryteria techniczne. Dlatego witamy NESAS z pełnym wsparciem i gotowością współpracy – poinformował Devin Duan, szef 5G E2E Cybersecurity Marketing w Huawei.

Standard NESAS to pierwszy w historii tego typu zestaw wytycznych dla branży komunikacji mobilnej. Przed długi czas sprzęt sieciowy od różnych dostawców działał na bazie niejednolitych przepisów cyberbezpieczeństwa, zależnych od lokalnego prawa. Prowadziło to do spadku efektywności w całej branży. Efektem było powtarzanie tych samych testów bezpieczeństwa, a finalnie spadek zaufania ze względu na brak określnych standardów.

Teraz, gdy istnieje jedna, ujednolicona ocena bezpieczeństwa cybernetycznego, operatorzy telekomunikacyjni, cały rynek, a także państwa mogą czerpać z tego istotne korzyści:

  1. Operatorzy unikną powtarzania testów na tym samym sprzęcie u różnych operatorów – NESAS oferuje bowiem ujednolicony standard cyberbezpieczeństwa dla dostawców sprzętu, który przejdzie się tylko raz i będzie powszechnie stosowany przez wszystkie podmioty, co znacznie poprawi wydajność całej branży.
  2. Państwa, które nie mają uprzedzeń wobec określonych dostawców, otrzymują jeden z najbardziej zaawansowanych standardów cyberbezpieczeństwa, który pozwoli im rozwinąć ich strategię cyfryzacji.

NESAS w całej Unii Europejskiej wspierany jest przez takie organizacje certyfikujące jak ENISA, BSI i ANSSI oraz korzysta z usług firm trzecich, zajmujących się audytem procesów i testowaniem produktów na bazie standardów GSMA i 3GPP. Standard w wersji V.1 został dokładnie opracowany i obejmuje swoim zakresem ponad 40 operacji. Obecnie wdraża je już 10 największych międzynarodowych organizacji. Także dostawcy tacy jak m.in. Huawei, Ericsson i Nokia starają się przejść proces audytu oraz test cyberbezpieczeństwa, otwarcie wspierając wizję ujednoliconego standardu budującego zaufanie.

Przedstawiciele Huawei poinformowali przy okazji, że firma przed zdaniem schematu GSMA NESAS, zdała również test cyberbezpieczeństwa IMT-2020 (5G) Promotion Group. W maju tego roku otrzymała międzynarodowy certyfikat bezpieczeństwa ISO/IEC 27701.