Licitación 5G del ICE sí incluyó estándares excluidos del decreto de ciberseguridad del gobierno
El sector telecomunicaciones hizo un llamado a incluirlos en el reglamento de redes de quinta generación
La recién lanzada licitación para redes 5G por parte del Instituto Costarricense de Electricidad (ICE) sí incluyó los estándares de ciberseguridad de la 3GPP y Nesas, a diferencia del Decreto Ejecutivo 44196-MSP-MICITT, que los dejó por fuera.
El acrónimo de Third Generation Partnership Project (3GPP, por sus siglas en inglés) se menciona casi 700 veces en el cartel de 656 páginas.
Esta es una colaboración de grupos de asociaciones de telecomunicaciones. Estas organizaciones establecen, desarrollan y actualizan estándares, entre ellos una serie de especificaciones de ciberseguridad.
Mientras, Network Equipment Security Assurance Scheme (Nesas, por sus siglas en inglés), también incorporadas en el pliego de condiciones, garantizan seguridad para la industria de tecnologías móvil e incluye requisitos comunes para evaluaciones de seguridad de equipos de red de los proveedores.
También proporciona las herramientas necesarias para garantizar pruebas de aseguramiento efectivas.
Ambas especificaciones anteriores quedaron excluidas del Reglamento sobre medidas de ciberseguridad aplicables a los servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores, emitido por el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) y el de Seguridad Pública (MSP).
En el caso del 3GPP, el cumplimiento de los estándares establecido en el proceso licitatorio del ICE incluye software, manejo y gestión de tráfico, equipos como radiobases y antenas, así como interconexión con el núcleo de la red y otras y georreferenciación, entre otros, presentes en el diseño y arquitectura de la red de quinta generación.
Por ejemplo, en el apartado de Ciberseguridad RAN-CORE móvil 5G indica lo siguiente:
3.1.El oferente deberá cumplir todos los aspectos alusivos a la gestión y mitigación de riesgos contenidos en el Reglamento Ciberseguridad Costa Rica Nº 44196-MSP-MICITT, a la hora de planificar, diseñar e implementar su oferta técnica, para lo cual deberá aportar junto con la oferta, el plan de gestión y mitigación de riesgos en concordancia con la normativa precitada.
3.2.El oferente deberá presentar una declaración jurada en donde indique que cumple con la adopción de los siguientes estándares de ciberseguridad:
- SCS 9001 – Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad
- GSMA NESAS – Esquema de aseguramiento de ciberseguridad definido por GSMA y 3GPP
- 3GPP 33.501 – Arquitectura y procedimiento de seguridad para sistemas 5G
Mientras, en el capítulo Generalidades técnicas, Equipos Red de Acceso Inalámbrico, el punto 4.1 señala que la red de acceso NG-RAN (5G) ofertada debe seguir como modelo la arquitectura SA, Release 16 del 3GPP o posterior y deberá funcionar en configuración distribuida (D-RAN).
En tanto, en el punto 4.4 indica que la red de acceso NG-RAN deberá tener incorporadas funcionalidades SON (Self Organizing Networks), por lo que el oferente debe describir todas las funciones de tipo SON que la red de acceso NG-RAN ofertada soporta, de acuerdo con las especificaciones del 3GPP.
Finalmente, el punto 4.12 establece que la red de acceso NG-RAN deberá cumplir, al menos, con las especificaciones 3GPP TS 38.300, TS 38.401, TS 38.413, TS 38.214, TS 38.331, en lo que respecta a indicadores de desempeño (KPI).
Nesas
En cuanto a las Nesas, el punto 4.13 de las Generalidades técnicas, Equipos Red de Acceso Inalámbrico, determina que la solución de gNB's ofertada, deberá cumplir con el esquema de aseguramiento de seguridad definido por GSMA y 3GPP (conocido como Nesas).
Además, el oferente deberá presentar la acreditación/certificación respectiva emitida por un laboratorio de pruebas de seguridad que esté acreditado con el ISO 17025, en el contexto de Nesas.