Logo
Tecnología

Reglamento para 5G no incluye estándares de ciberseguridad de la 3GPP

A pesar de la recomendación de Sutel, los dejó por fuera del decreto

Por Erick Murillo | 28 de Sep. 2023 | 12:27 am
Carousel image

(CRHoy.com).-El reglamento de ciberseguridad para redes 5G elaborado por el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt), no incluye los mundialmente reconocidos estándares de seguridad de la 3GPP,

La Third Generation Partnership Project (3GPP, por sus siglas en inglés) es una colaboración de grupos de asociaciones de telecomunicaciones.

Estas organizaciones establecen, desarrollan y actualizan estándares, entre ellos una serie de especificaciones de ciberseguridad.

Sin embargo, en el Decreto Nº 44196-MSP-MICITT, Reglamento Sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones Basados en la Tecnología de Quinta Generación Móvil (5G) y superiores, no se incorporan ni aparecen mencionados estos lineamientos, a pesar de que la Superintendencia de Telecomunicaciones (Sutel), en la respuesta que dio por medio del oficio 06900-SUTEL-CS-2023 a la consulta confidencial de la reglamentación que le hizo el Ministerio, establece que "en cumplimiento de lo dispuesto por el ente rector, es de conocimiento del Micitt que en el borrador de pliego de condiciones del concurso IMT 5G, se incorporaron en el apartado "21.3.17. Requisitos mínimos de seguridad", donde entre otras cosas "El Concesionario debe cumplir con los protocolos de seguridad 3GPP", que es la regulación de referencia para este tipo de redes".

En virtud de lo anterior, se somete a valoración del MICITT, considerar las condiciones de seguridad propuestas en el citado apartado en aplicación de normas como las de la 3GPP".

Pero en el documento MICITT-DGDCFD-INF-007-2023, el Ministerio responde a la Superintendencia lo siguiente:

Al respecto se destaca que el Reglamento que se consultó no pretende reemplazar los requerimientos técnicos que Sutel ha considerado relevantes. Los estándares de la 3GPP son relevantes en temas relacionados con autenticación del usuario; requisitos de seguridad de las interfaces de red; métodos de autenticación y medidas de seguridad para garantizar la integridad y confidencialidad de la comunicación; procedimientos de autenticación, autorización y cifrado. Sin embargo, el texto del reglamento propuesto establece medidas de ciberseguridad para garantizar el uso y la explotación, segura y con resguardo de la privacidad de las personas, realizando un planteamiento integral en el que se identifican los riesgos nacionales de ciberseguridad en redes 5G, la obligación de acatar medidas de mitigación de riesgos nacionales, la obligación de adoptar medidas que permitan realizar una adecuada gestión de los riesgos, el deber de analizar y gestionar los riesgos de la cadena de suministros, entre otros aspectos.

Tal como se desprende del anterior análisis, las medidas establecidas por la 3GPP y el reglamento en consulta son complementarias, con el objetivo de mejorar la seguridad y ciberseguridad, en beneficio de los usuarios de los servicios de telecomunicaciones en Costa Rica. Consecuentemente la propuesta reglamentaria no desconoce ni el apartado 21.3.17 "Requisitos mínimos de seguridad" referido, ni tampoco la norma 3GPP.

El texto propuesto tiene como cometido el reforzamiento de esas buenas prácticas. Lleva razón la Sutel en tanto que, los posibles adjudicatarios estarán sometidos a las nuevas disposiciones normativas que al efecto se emitan, toda vez que en materia de contratación administrativa la relación de jerarquía de las fuentes implica que, cualquier reglamento o normativa técnica prevalece sobre el pliego de condiciones, tal y como lo dispone el párrafo final 40 de Ley General de Contratación Pública, Ley N°9986 en los siguientes términos: "(…) La omisión en el pliego de condiciones de aquellas obligaciones impuestas por el ordenamiento jurídico a los potenciales oferentes en atención al objeto contractual, no exime a éstos de su obligado cumplimiento".

Del análisis de lo indicado por el Regulador en este apartado se concluye que no es necesario modificar el texto remitido mediante oficio MICITT-DM-OF-651-2023.

Es decir, el Micitt no atendió la recomendación que le dio la Sutel de integrar tan relevantes protocolos de ciberseguridad, entidad que sí los incluyó en el precartel de subasta de frecuencias del espectro radioeléctrico en el apartado de Requisitos mínimos de seguridad, pero sí integró el Convenio de Budapest que no tiene nada que ver con ciberseguridad. 

Todo esto a pesar del discurso del Micitt que afirma incluir una serie de estándares, marcos de referencia y normas ISO en materia de seguridad informática.

Versión de Sutel vrs. Micitt

Mientras la Superintendencia defiende la aplicación de las recomendaciones de la 3GPP en el borrador de la licitación pública internacional, el Ministerio reconoció que las dejaron por fuera del reglamento que elaboraron.

"Entre las disposiciones de política pública que se están buscando atender en el pliego de condiciones está el tema de seguridad, ha habido bastante discusión para las redes de quinta generación y en general para la protección de los datos de los usuarios sobre los elementos de seguridad que deben considerarse.

Aquí tomamos en consideración las recomendaciones de la 3GPP, pero desde una perspectiva mucho más amplia se estaría buscando la protección de los datos tanto desde la interfaz de radio como desde el intercambio de los diferentes bloques funcionales de las redes 5G, que van a tener diferentes elementos que se dan servicio entre sí y entre ellos hay interfaces de servicios y la idea es protegerlas así como a redes externas", explicó Glenn Fallas, director general de Calidad y Espectro de la Sutel, durante el webinar Subasta de Espectro IMT de Costa Rica, particularidades del pliego de condiciones preliminar, organizado por 5G Américas.

Carousel image

Pero el Micitt dio las justificaciones de porqué no incorporaron los reconocidos estándares de la 3GPP en la normativa.

"En efecto no están las de la 3GPP ni muchas otras, es decir, el decreto no es una lista de estándares que le digan a los operadores todo lo que tengan que hacer, si se revisa lo que hace es establecer cuáles los parámetros y criterios que se consideran un riesgo alto.

Eso no significa que no hay que cumplir con otros estándares, ya lo habrán visto en el borrador del cartel de la red 5G donde están los estándares de la 3GPP, por ejemplo", argumentó Elidier Montoya, de Redes de Telecomunicaciones del Micitt.

Comentarios
0 comentarios
OPINIÓNPRO
Dr. Rene Castro Salazar
OPINIÓN

Código de Adaptación al Cambio Climático: un escudo para el futuro de Costa Rica

Por Dr. Rene Castro Salazar

Ing. Olman Vargas Zeledón
OPINIÓN

El inevitable tema de la infraestructura vial

Por Ing. Olman Vargas Zeledón

Msc. Emilia Malavassi
OPINIÓN

El amor no basta: amar bien también se aprende

Por Msc. Emilia Malavassi

Dr. Tomás de Camino Beck
OPINIÓN

Reparando la educación con inteligencia Cyborg: artificial y humana

Por Dr. Tomás de Camino Beck

Vladimir de la Cruz de Lemos
OPINIÓN

El pequeño gobierno de la Guarida de Zapote sigue sin verse, sin encontrarse

Por Vladimir de la Cruz de Lemos

TE PODRÍA INTERESAR
5G
5G

¿Enemigas? Antonela Roccuzzo dedica posteo a Shakira tras rumores de años

5G
5G

Confirman lanzamiento del laboratorio de pruebas 5G en el país

5G
5G

Estos son los desafíos y oportunidades de las municipalidades ante 5G

5G
5G

Presentan guía para innovación tecnológica en municipalidades previo a 5G

5G
5G

Estos serán los casos de uso y aplicaciones para cooperativas en redes 5G