Por Mats Nilsson* –Durante décadas, o 3GPP garantiu os mecanismos de segurança adequados por meio de padrões que possibilitaram que bilhões de usuários globais tivessem acesso às comunicações móveis. Mas o que é 3GPP e qual o seu impacto no 5G? É preciso saber o que está sendo feito para garantir segurança permanente e em escala para inovações, aplicativos e dispositivos globais.
Ao longo dos anos, o 3GPP tem atuado em estabelecer padrões necessários para as funções de segurança e, assim, lidar com os casos de uso das respectivas gerações de comunicações. Para combater fraude e proteger a privacidade do usuário, por exemplo, o Sistema Global de Comunicações Móveis (GSM) estabeleceu o padrão para criptografia de cartões SIM e Air Interface. Além disso, os padrões 3G foram definidos para proteção contra atividades maliciosas da Internet, e autenticação mútua para combater falsas estações-base.
Estes são apenas alguns exemplos do que o 3GPP e seus antecessores, como o ETSI SMG, já realizaram. Todas elas são funcionalidades de segurança muito importantes para o uso de telefonia e internet móvel de forma geral. Essas conquistas perduram há décadas e atendem a bilhões de usuários, o que é completamente único.
A garantia de segurança através dos padrões estabelecidos pela 3GPP e pela GSM (SECAM/NESAS) foi um passo inovador. Nenhum requisito de boas práticas e validação para algo tão complexo quanto um sistema de telecomunicações havia sido criado anteriormente. As técnicas disponíveis estavam otimizadas para componentes de TI muito estáticos e confinados e não funcionavam para um sistema complexo ou em um cenário dinâmico, em que as atualizações são extensas e frequentes.
Para o 5G, com todos os novos casos de uso e aplicações em nuvem, a segurança requer um mecanismo sólido que ofereça proteção duradoura e em escala para inovações, aplicativos e dispositivos. Hoje, no 3GPP, a responsabilidade por essa tarefa crucial é de um grupo de trabalho conhecido como SA3, presidido desde o início de 2019 por Noamen Bem Henda, Pesquisador da Ericsson Research. Ele é responsável pelas discussões técnicas e pelo gerenciamento do trabalho, em conjunto com uma equipe de suporte.
Mas antes de falar sobre o trabalho do 3GPP e do SA3, é importante explicar o papel de cada um desses projetos dentro do universo das telecomunicações.
Em primeiro lugar, o que é 3GPP e SA3?
3GPP é um projeto global que conta com organizações e empresas de telecom, responsáveis por reconhecer patentes e especificações técnicas a redes móveis em todo o mundo. Desta forma, é possível garantir que os fabricantes de equipamentos e aparelhos de rede desenvolvam produtos interoperáveis. Ao contrário dos velhos tempos, onde você comprava um telefone celular em um país ou região e ele poderia não funcionar em outro, é graças ao 3GPP que isso não existe mais.
O 3GPP é composto por diferentes grupos que se reúnem pelo menos uma vez a cada trimestre. Existem diferentes tipos de grupos, mas o trabalho técnico é realizado nos chamados grupos de trabalho. Durante as reuniões, os representantes ou delegados das empresas se reúnem para discutir propostas de mudanças ou acréscimos às especificações técnicas, chamadas contribuições. Cada grupo de trabalho é responsável por um aspecto específico de um sistema de comunicação móvel. O grupo SA3 é responsável pelo aspecto de segurança. Basicamente, ele tem a tarefa de estudar qualquer recurso ou aprimoramento desenvolvido no 3GPP e, sempre que necessário, especificar os requisitos e mecanismos para protegê-lo.
Padrões de segurança para 5G – ou especificação 33.501
O trabalho sobre segurança 5G começou em 2016 e, no verão de 2018, o SA3 entregou a primeira versão de uma especificação técnica para segurança 5G, a especificação 33.501. Por ser um sistema totalmente novo, é importante que ela inclua tudo que é necessário saber sobre arquitetura geral de segurança e mecanismos para 5G. Como os dispositivos são autenticados pela rede, por exemplo, como a comunicação é protegida entre o dispositivo e a rede e também dentro de uma rede 5G entre as diferentes entidades, também chamadas de funções de rede.
O trabalho em 5G no 3GPP foi dividido em dois lançamentos, ou ciclos, referidos como 5G fase 1 e 5G fase 2. O trabalho na fase 1 foi concluído há alguns anos. No momento, o 3GPP está finalizando o trabalho na fase 2, voltado para aplicações como IoT celular, veículos conectados, redes não públicas e comunicação de baixa latência ultra confiável. O objetivo é fornecer aprimoramentos e recursos para suportar e ativar esses casos de uso em um sistema 5G. Em tudo isso, o SA3 está fazendo sua parte, que é especificar os requisitos e mecanismos de segurança para todos esses novos aprimoramentos.
Temos, ainda, uma estrutura de garantia de segurança, estabelecida em conjunto com a GSMA, chamada NESAS (Network Equipment Security Assurance Scheme), que avalia o desenvolvimento seguro e o gerenciamento do ciclo de vida de produtos, assim como testes de segurança para avaliação de equipamentos de rede. Com os testes, coletamos especificações técnicas que ajudam a identificar melhorias nos níveis de segurança na indústria móvel. Recentemente, o SA3 concluiu o trabalho de análise cobrindo quase todas as funções de rede para o sistema 5G. Esta é uma das etapas mais importantes para estabelecer marcos de segurança para redes 5G.
*Mats Nilsson é Diretor de Segurança do Produto da Ericsson.