O Comitê de Comércio, Ciência e Transporte do Senado dos EUA realizou na quarta-feira um audição onde funcionários das principais empresas de tecnologia e telecomunicações fizeram recomendações importantes aos legisladores que buscam substituir e proibir ainda mais equipamentos de telecomunicações que possam representar um risco à segurança, incluindo produtos da Huawei e ZTE, com sede na China. Entre as principais sugestões estava que qualquer esforço para "remover e substituir" equipamentos não confiáveis ​​deveria realmente ser tratado como "substituir e, em seguida, remover".

Agências federais foram proibidas de usar equipamentos Huawei e ZTE desde a aprovação da Lei de Autorização de Defesa de 2018 e, no final de 2019, a Comissão Federal de Comunicações proibiu as redes de telcom de comprar equipamentos Huawei e ZTE do Fundo de Serviço Universal da agência (USF). E no mês passado, o Congresso aprovou a Lei de Redes de Comunicações Seguras e Confiáveis, que estabelecerá um programa de reembolso - administrado pela Comissão Federal de Comunicações, que permitirá que operadoras de telecomunicações pequenas e rurais “retirem e substituam” de suas redes qualquer equipamento considerado não confiável e inseguro.

A testemunha Steven Berry, presidente e CEO da Competitive Carriers Association (CCA), abordou a última legislação em uma declaração por escrito enviada. Berry disse que, embora a maioria das redes de membros do CCA não tenham equipamentos de fontes não confiáveis, aqueles que “querem tomar todas as medidas necessárias para garantir nossa segurança nacional”, mas podem precisar de ajuda adicional e margem de manobra para avançar.

“… Tenho esperança de que recursos estarão disponíveis para que as operadoras possam se mover rapidamente para substituir os elementos de rede cobertos. Isso significa que, após uma operadora com equipamento coberto ter estabelecido um plano claro para substituição e remoção de elementos de rede, eles terão acesso a financiamento tanto no início do processo quanto em benchmarks especificados ao longo do processo ”, disse Barry. “Esse acesso aos recursos necessários reconhece que as redes que inicialmente não eram econômicas para construir mecanismos de suporte ausentes provavelmente não serão capazes de financiar o processo de gerenciamento de projetos sem recursos disponíveis muito antes da certificação de que os elementos cobertos foram completamente removidos. Além disso, conforme o processo de remoção avança, os legisladores devem permitir que as operadoras façam a triagem de suas redes e se concentrem nas vulnerabilidades mais significativas primeiro. ”

Foi Barry quem enfatizou aos legisladores que o processo de “remover e substituir” terá de ser mais realisticamente “substituir, depois remover”. Em outras palavras, “uma rede separada e independente deve ser estabelecida e mantida ao lado dos serviços atuais antes que as operadoras possam fazer a transição do tráfego para o novo equipamento e, em seguida, descomissionar os elementos cobertos”, explicou Barry. ” Dessa forma, os americanos em regiões rurais não perdem conectividade de voz e serviços 911 enquanto ocorre essa transição logisticamente complexa.

Além disso, Barry incentivou o governo federal a incentivar financeiramente as operadoras a selecionar fornecedores de equipamentos que priorizem a resiliência e a segurança, para que as empresas de telecomunicações não gravitem simplesmente nas soluções disponíveis mais baratas ao usar os fundos da FCC para construir suas redes.

Tendo aprendido com várias trocas de equipamentos executadas por sua empresa, Mike Murphy, CTO, Américas, da Nokia, disse em seu próprio depoimento por escrito que legisladores e reguladores federais devem exercer paciência e ter flexibilidade em termos de prazos e tecnologia.

Murphy observou que tais empreendimentos “requerem um planejamento cuidadoso, são específicos da rede e os tempos necessários variam significativamente de projeto para projeto”. Por esse motivo, “a Nokia acredita que várias disposições da Lei são prudentes, particularmente a disposição que concede discricionariedade à FCC para estender o tempo permitido para as operadoras afetadas substituírem o equipamento coberto de um ano, por até seis meses adicionais, e o diretiva para a FCC permanecer neutra em termos de tecnologia ao estabelecer a lista de equipamentos de substituição recomendados. ”

Murphy também disse que a FCC não deve ser “excessivamente prescritiva” em como governa as operadoras para substituir a tecnologia “like for like” - enfatizando que o mais importante é que a funcionalidade permaneça a mesma, mesmo se o equipamento subjacente for diferente.

“[A] FCC também não deve condicionar fundos a quaisquer mandatos de tecnologia prescritivos. Nenhuma tecnologia específica, configuração de rede ou outro mandato semelhante será uma solução única para todas as implantações de rede. ”

Além disso, “Em vez de focar nos países de origem para fornecimento ou fabricação de componentes, especifique os componentes ou atividades que dão origem ao risco de exploração ou manipulação”, acrescentou Murphy. “Nem todos os componentes e produtos criam riscos. Estreitar o foco para componentes ou produtos específicos com risco ajudará os fornecedores a tomar decisões críticas e cooperativas com os governos sobre as atividades da cadeia de suprimentos ”.

Jason Boswell, chefe de soluções de produtos de rede de segurança da Ericsson, também ofereceu testemunho por escrito, incentivando legisladores a apoiar a legislação que acelera a implantação de 5G e continua a promover um mercado forte de fornecedores de telecomunicações confiáveis.

“… A Ericsson acredita que a implantação acelerada do US 5G protegerá, por sua vez, a segurança da cadeia de suprimentos 5G, uma meta que pode ser alcançada por meio (i) do aumento da disponibilidade de espectro, especialmente banda média; (ii) implementar regras de localização de pequenas células razoáveis ​​e simplificadas; (iii) desenvolver e implantar uma força de trabalho de torre qualificada; e (iv) garantir incentivos eficazes para encorajar a implantação de 5G em áreas rurais ”, escreveu Boswell.

Em testemunho escrito adicional, James Lewis, vice-presidente sênior e diretor do Programa de Política de Tecnologia do Centro de Estudos Estratégicos e Internacionais, disse que os relatos de que os EUA estão ficando atrás da China na corrida para o 5G são exagerados. Ele também ofereceu sua opinião sobre como os EUA podem trabalhar para garantir um 5G mais seguro com seus aliados globais, alguns dos quais ainda usam equipamentos da Huawei ou promulgaram proibições apenas parciais, como o Reino Unido.

“Onde há desacordo é sobre como gerenciar o risco. Os EUA, Japão e Austrália baniram a tecnologia Huawei em suas redes. Esta é a única maneira de eliminar totalmente o risco ”, disse Lewis. “Aqueles que defendem uma proibição parcial argumentam que, se implementada corretamente, torna o risco de usar a Huawei gerenciável. Alguns países europeus irão copiar a decisão do Reino Unido. Isso dá aos Estados Unidos a oportunidade de trabalhar com nossos aliados para garantir que uma proibição parcial reduza o risco e possa haver vantagens reais para a segurança das redes de telecomunicações e cibersegurança. A recém-emitida caixa de ferramentas 5G da União Europeia fornece uma estrutura para orientar a política de uma forma que, se implementada totalmente, reduziria o uso da infraestrutura de telecomunicações pela China para espionagem e influência. ”

A raiz do problema do 5G é a espionagem chinesa e as práticas econômicas predatórias chinesas ”, continuou Lewis. “Nossos parceiros europeus e asiáticos perceberam a extensão da campanha de espionagem chinesa contra eles. Os países próximos à China desejam cooperar, mas há uma ambivalência na Europa. A China não é uma ameaça militar para eles e há uma relutância em admitir que o mercado da China do qual a Europa depende vem com um risco econômico real ... Espionagem, subsídios ilícitos e preços predatórios ajudaram a Huawei a afastar os fabricantes ocidentais de telecomunicações do mercado e de outros setores da economia europeia, como aeroespacial e automóveis, estão agora em risco. Nossa tarefa é persuadir os aliados europeus de que é melhor que as democracias permaneçam unidas ”.

O debate da Huawei começou na RSA 2020

A audiência de quarta-feira aconteceu cerca de uma semana após uma sessão de painel na conferência RSA 2020, durante a qual especialistas em segurança cibernética e funcionários do Departamento de Defesa dos EUA e da Huawei entraram em confronto com a decisão dos Estados Unidos de proibir o uso de produtos de telecomunicações da Huawei pelo governo federal.

O palestrante Andy Purdy, CSO da Huawei Technologies USA, deu a entender que os legisladores dos EUA e a administração Trump estão destacando a Huawei porque ela está sediada na China, enquanto negligencia outras grandes ameaças que poderiam representar uma ameaça às comunicações e outras infraestruturas críticas.

“Vamos considerar um fornecedor de confiança porque eles não estão sediados na China? Acho que não. E acho que, ao começar a aprender com todos vocês, não podemos confiar em ninguém ”, disse Purdy. Por esse motivo, ele continuou, é importante criar um sistema que elimine todas as ameaças de forma mais ampla - um sistema “com padrões uniformes e programas de conformidade ... testes e monitoramento contínuos para ajudar a garantir que estamos seguros”.

Mas Katie Arrington, que supervisiona a gestão da cadeia de suprimentos para o DOD como CISO do Gabinete do Subsecretário de Defesa para Aquisição da agência, disse a Arrington que o DOD não baseia suas avaliações de segurança apenas no país de origem. “Estamos sempre olhando o código-fonte ... onde o código-fonte foi criado, quem o criou e como foi transmitido desde então”, disse ela.

No entanto, Arrington também insistiu que a Huawei é um caso excepcional que requer atenção especial devido à clara ameaça que representa. “Temos nossos próprios dados. A recomendação era retirar a Huawei por um motivo muito específico ”, disse ela.

De acordo com relatos, as autoridades americanas acusaram a Huawei de plantar backdoors em seus produtos e redes de telecomunicações - backdoors que a China poderia mais tarde usar para espionagem cibernética ou até mesmo um futuro ataque à infraestrutura crítica.

Alguns observadores disseram que a proibição dos Estados Unidos aos produtos da Huawei carece de justificativa devido à escassez de evidências publicamente disponíveis de que a empresa cometeu atos ilícitos. No entanto, Arrington insistiu que o DoD não está apenas seguindo a lei atual ao impor a proibição, mas também está a par de sua própria inteligência classificada que ilustra que tais medidas são necessárias.

Com relação à política de "remover e substituir" estabelecida pela Lei de Rede de Comunicações Seguras e Confiáveis, Purdy fez uma série de perguntas destinadas a estimular o pensamento do público: "Quem tem mais probabilidade de se machucar, Huawei ou as empresas americanas que apóiam a base industrial de defesa dos Estados Unidos? E antes que o equipamento da Huawei seja retirado e substituído pelas empresas que atendem à zona rural da América, os especialistas devem considerar as consequências? Devem ser consideradas medidas eficazes de mitigação de risco? 'Remover e substituir' levará mais tempo e mais dinheiro do que o previsto? ” Purdy perguntou.

Mas Arrington insistiu que a proibição era óbvia. “Ter isso fora de nossos ambientes de maior confiança não é algo com que nós, no DOD, nos preocupemos, é um impedimento”, disse ela. “É preciso fazer porque o risco é muito alto.”

Outros especialistas comentaram que os Estados Unidos ainda poderiam fazer um trabalho melhor refinando suas políticas de segurança de telecomunicações e 5G, e tomar cuidado para não tomar medidas drásticas.

“Não tivemos uma resposta na conservação nacional sobre quais dados constituem [um] risco para a segurança nacional e parte do motivo pelo qual não sabemos é porque não sabemos como os dados serão usados ​​no futuro”. disse Kathryn Waldon, pesquisadora do R Street Institute, uma organização de pesquisa de políticas públicas e think tank. “… Mas sem saber a resposta para isso, também é difícil julgar a resposta proporcional a qualquer empresa em particular. Então, embora eu definitivamente concorde ... que não podemos apenas olhar para o país de origem - você precisa suspeitar igualmente das empresas americanas, dos países europeus, ao mesmo tempo, eu também concordaria com Katie sobre o país de origem para algumas empresas e algumas infraestruturas, há um risco muito alto para que nos sintamos realmente confortáveis ​​em incluí-los em nossa cadeia de suprimentos ”.

Enquanto isso, o pesquisador e tecnólogo de segurança da Universidade de Harvard, Bruce Scheiner, opinou que os EUA prejudicam sua posição ao tratar a situação da Huawei como uma questão de segurança e comercial - levantando assim a questão de se a proibição pode, em parte, ser um caminho para o EUA devem ganhar vantagem na guerra comercial em curso com a China.

“Infelizmente, quando você olha as notícias, o governo está tentando jogar dos dois lados e acho que isso nos magoa. Provavelmente é uma questão de segurança nacional, mas ... Saindo da Casa Branca, fala-se muito de que é uma questão comercial. E eu gostaria que eles parassem de fazer isso. Ou pelo menos, se eles estão fazendo isso, pare de falar sobre isso como uma questão de segurança nacional. Escolha um. ”

O painel foi moderado por Craig Spiezle, diretor administrativo do Agelight Advisory & Research Group e presidente emérito da Online Trust Alliance.