Gonzalo Erro, Privacy and Cyber Security Officer at Huawei Technologies España

La adopción de nuevas tecnologías (como el 5G, Cloud, IoT, IA, etc.) en la transformación digital de España, va a traer nuevas oportunidades y nuevos escenarios de riesgo que gestionar para todos los actores. El acompañamiento regulatorio a estos cambios es bienvenido y viene a reforzar los requerimientos de seguridad necesarios, incluyendo el refuerzo de la seguridad de las cadenas de suministro y la relación con los proveedores. En este contexto, los fabricantes de tecnología y soluciones enfrentamos un reto común: ¿Cómo ser partners de confianza para el futuro?

1.1. Definición de Confianza – Diccionario RAE / Oxford

[Confianza RAE] Esperanza firme que se tiene de alguien o algo.

[Confianza OXFORD] Esperanza firme que una persona tiene en que algo suceda, sea o funcione de una forma determinada, o en que otra persona actúe como ella desea.

1.2. La “Confianza” como eje central de los procesos de compra de clientes

En los procesos de compra podemos observar la existencia de varios elementos comunes. Podríamos resumirlos en que, partiendo del concepto de “Confianza-Cero”, obtener dicha confianza se basa en hechos que se definen en estándares internacionales y que además deben ser verificables por terceros independientes.

• Confianza-Cero: en el nuevo ciberespacio, no se debe confiar o desconfiar en nadie por defecto. La misma noción de “proveedor de confianza”, necesita una revisión. Tras el incidente de SolarWinds hay algunas señales en el horizonte de que el concepto de "Confianza-Cero" se convertirá en la nueva normalidad. Las restricciones impuestas a los proveedores debido a su país de origen contribuyen poco a la ciberseguridad. Y más en el contexto de que los principales fabricantes de tecnología utilizan chips y componentes provenientes de una cadena de suministro global.

• Hechos definidos en estándares: en este sentido, vemos mucho progreso, especialmente en Europa. Por ejemplo, las recomendaciones de la caja de herramientas de 5G de la UE requirió a los Estados Miembros a reflexionar sobre los riesgos para las redes 5G y aplicar medidas destinadas a reforzar la seguridad en la cadena de suministro de los operadores de redes. Por ejemplo, se recomienda la diversificación en la cadena de suministro como herramienta para que los operadores consideren una estrategia de múltiples proveedores al desplegar redes. Otro ejemplo es el uso de esquemas de certificación que proporcionen garantías independientes sobre la seguridad de los componentes críticos de redes de telecomunicaciones.

• Verificación independiente: los proveedores necesitamos utilizar mecanismos de verificación independiente para demostrar el cumplimiento de esos estándares. La utilización de esquemas de certificación, en virtud de los cuales un tercero independiente realiza una auditoria del desarrollo de un producto o verificaciones técnicas sobre las especificaciones de seguridad que definidas en los estándares, son una parte muy relevante de un enfoque lógico y razonable para establecer mecanismos de confianza.

Por ejemplo, el esquema se aseguramiento de seguridad de equipos de red (NESAS), definido conjuntamente por 3GPP y GSMA, sirve para proporcionar un marco de garantía de seguridad para los fabricantes de equipos de redes de telecomunicaciones. Este esquema verifica los 2 elementos clave anteriormente descritos y genera las evidencias necesarias (evaluación de especificaciones de seguridad, evaluación de vulnerabilidades, pruebas de intrusión o auditoria del proceso de desarrollo de producto) para la toma de decisiones de compra de productos por parte de los clientes.

Esta iniciativa práctica, es apoyada por agencias de ciberseguridad, operadores, fabricantes de la industria de telecomunicaciones y es, sin duda, un movimiento en la dirección correcta.

1.3. “Confianza” como característica de la resiliencia de los Estados  

Los Gobiernos trabajan para garantizar la protección de lo que se defina como “vital” para los intereses estratégicos, sociales y económicos de las naciones, y con este alcance desarrollan regulaciones destinadas a incrementar las capacidades de resiliencia, pero además para asegurar una buena comprensión del enfoque de los riesgos de ciberseguridad.

Reflejo de ello es la intensa labor que se lleva realizando en España desde hace tiempo y que tiene reflejo en iniciativas diversas como la Estrategia Nacional de Ciberseguridad de 2019, el Foro Nacional de Seguridad, la regulación existente en Seguridad de Redes y Sistemas de Información o los anteproyectos de Ley General de Telecomunicaciones y de requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.

En concreto, en relación con el sector de las telecomunicaciones, las características de confianza para los proveedores de 5G quedaran establecidas en el futuro esquema de seguridad, que será resultado de un análisis de riesgos nacional para el que, además, se tendrá en consideración los análisis de riesgos previos de la propia industria.

Todas estas medidas tienen como objetivo mitigar los efectos de ataques tradicionales, pero también en escenarios de amenazas hibridas se podría establecer la necesidad de pedir a los proveedores como mínimo una declaración de confianza, tal como parece apuntar la regulación en Alemania.

1.4. Huawei como de Proveedor de Confianza

En 2018, Huawei se unió a la denominada “Paris Call for Trust and security in Cyberspace”, donde los signatarios (incluyendo Estados, Asociaciones y Empresas) reafirmamos nuestra disposición a trabajar conjuntamente para aplicar medidas que permitan, entre otras: 1) mejorar la resiliencia frente a ciberataques maliciosos a las infraestructuras críticas y ciudadanos; 2) Fortalecer la seguridad de los procesos, productos y servicios digitales, a lo largo de su ciclo de vida y en la cadena de suministro. Huawei está abierta a firmar una Declaración de Proveedor de Confianza con cualquier Estado miembro europeo, y creemos que esto es una extensión de nuestro compromiso como uno de los signatarios dicha llamada.

Necesitamos promover estándares y esquemas de certificación globales que utilicen mecanismos de evaluación independientes. Huawei ya dispone de más de 270 certificaciones de seguridad e informes de aseguramiento independientes obtenidos desde 2011, entre las que caben destacar las 59 certificaciones Common Criteria para diferentes productos, incluyendo la del 5G gNodeB, los informes de auditoría NESAS para las soluciones 5G de radio yCore, así como las certificaciones de privacidad y seguridad para de su ecosistema de aplicaciones móviles como EuroPriSe, 27001/27701 o ePrivacySeal.

Por último, no debemos olvidar que el desafío de la ciberseguridad nos concierne a todos. Para mezclar con éxito todos los ingredientes necesarios que permiten fortalecer la ciberseguridad, es necesario la colaboración y el dialogo abierto entre todas las partes involucradas.