El Comité del Senado de Estados Unidos sobre Comercio, Ciencia y Transporte celebró el miércoles un . donde los funcionarios de las principales empresas de tecnología y telecomunicaciones presentaron recomendaciones clave a los legisladores que buscan reemplazar y prohibir aún más los equipos de telecomunicaciones que pueden presentar un riesgo de seguridad, incluidos los productos de Huawei y ZTE con sede en China. Una de las sugerencias clave fue que cualquier esfuerzo para "rasgar y reemplazar" equipos no confiables debería tratarse realmente como "reemplazar, luego rasgar".

A las agencias federales se les ha prohibido el uso de equipos Huawei y ZTE desde la aprobación de la Ley de Autorización de Defensa de 2018, y a fines de 2019, la Comisión Federal de Comunicaciones prohibió a las redes de telecomunicaciones comprar equipos Huawei y ZTE del Fondo de Servicio Universal (USF) de la agencia. Y el mes pasado, el Congreso aprobó la Ley de redes de comunicaciones seguras y confiables, que establecerá un programa de reembolso, administrado por la Comisión Federal de Comunicaciones, que permitirá a los operadores de telecomunicaciones pequeños y rurales "extraer y reemplazar" de sus redes cualquier equipo que se considere no confiable. e inseguro.

El testigo de la audiencia Steven Berry, presidente y CEO de la Competitive Carriers Association (CCA), se refirió a esta última legislación en una declaración escrita presentada. Berry dijo que si bien las redes de la mayoría de los miembros de CCA no tienen equipos de fuentes no confiables, aquellos que "quieren tomar los pasos necesarios para garantizar nuestra seguridad nacional", pero pueden necesitar ayuda adicional y margen de maniobra para avanzar.

“… Espero que haya recursos disponibles para que los operadores puedan moverse rápidamente para reemplazar los elementos de red cubiertos. Esto significa que después de que un operador con equipo cubierto haya establecido un plan claro para el reemplazo y la eliminación de elementos de redes, tendrán acceso a financiamiento tanto a medida que comience el proceso como a puntos de referencia específicos a lo largo del proceso ”, dijo Barry. “Tal acceso a los recursos necesarios reconoce que las redes que inicialmente no eran económicas para construir mecanismos de apoyo ausentes probablemente no puedan financiar el proceso de gestión del proyecto sin recursos disponibles mucho antes de la certificación de que los elementos cubiertos se han eliminado por completo. Además, a medida que avanza el proceso de eliminación, los encargados de formular políticas deberían permitir que los operadores clasifiquen sus redes y se concentren primero en las vulnerabilidades más importantes ".

Fue Barry quien enfatizó ante los legisladores que el proceso de "desgarrar y reemplazar" tendrá que ser más realista: "reemplazar, luego desgarrar". En otras palabras, "una red independiente y separada debe establecerse y ponerse de pie junto con los servicios actuales antes de que los transportistas puedan hacer la transición del tráfico al nuevo equipo y luego desmantelar los elementos cubiertos", explicó Barry. De esa manera, los estadounidenses en las regiones rurales no pierden la conectividad de voz y los servicios del 911 mientras se produce esta transición logística compleja.

Además, Barry alentó al gobierno federal a incentivar financieramente a los operadores para que seleccionen proveedores de equipos que prioricen la capacidad de recuperación y la seguridad, de modo que las compañías de telecomunicaciones no se limiten a buscar las soluciones más baratas disponibles al utilizar los fondos de la FCC para construir sus redes.

Después de aprender de varios intercambios de equipos ejecutados por su compañía, Mike Murphy, CTO, Américas, en Nokia, dijo en su propio testimonio escrito que los legisladores y reguladores federales deben ejercer paciencia y tener flexibilidad tanto en términos de tiempo como en tecnología.

Murphy señaló que tales empresas "requieren una planificación cuidadosa, son específicas de la red y los tiempos requeridos varían significativamente de un proyecto a otro". Por esa razón, “Nokia cree que varias disposiciones de la Ley son prudentes, en particular la disposición que otorga discreción a la FCC para extender el tiempo permitido para que los transportistas afectados reemplacen el equipo cubierto desde un año, hasta por seis meses adicionales, y el directiva para que la FCC permanezca neutral en cuanto a la tecnología al establecer la lista de equipos de reemplazo recomendados ".

Murphy también dijo que la FCC no debería ser "demasiado prescriptiva" en la forma en que gobierna a los operadores para reemplazar la tecnología "me gusta por me gusta", enfatizando que lo más importante es que la funcionalidad siga siendo la misma, incluso si el equipo subyacente es diferente.

“[La] FCC tampoco debería condicionar los fondos a ningún mandato tecnológico prescriptivo. Ninguna tecnología específica, configuración de red u otro mandato similar será una solución única para todos los despliegues de red ".

Además, "en lugar de centrarse en los países de origen para el abastecimiento o fabricación de componentes, especifique los componentes o actividades que dan lugar al riesgo de explotación o manipulación", agregó Murphy. “No todos los componentes y productos crean riesgos. Limitar el enfoque a componentes o productos específicos con riesgo ayudará a los proveedores a tomar decisiones críticas y cooperativas con los gobiernos sobre las actividades de la cadena de suministro ”.

Jason Boswell, jefe de soluciones de productos de redes de seguridad en Ericsson, también ofreció un testimonio por escrito, alentando a los legisladores a apoyar la legislación que acelera el despliegue de 5G y continuar fomentando un mercado fuerte de proveedores confiables de telecomunicaciones.

"... Ericsson cree que el despliegue acelerado de 5G en los Estados Unidos a su vez protegerá la seguridad de la cadena de suministro de 5G, un objetivo que se puede lograr a través de (i) una mayor disponibilidad de espectro, especialmente de banda media; (ii) establecer reglas razonables y simplificadas de ubicación de celdas pequeñas; (iii) desarrollar y desplegar una fuerza laboral calificada de torres; y (iv) asegurar incentivos efectivos para alentar el despliegue de 5G en áreas rurales ", escribió Boswell.

En un testimonio escrito adicional, James Lewis, vicepresidente sénior y director del Programa de Política Tecnológica del Centro de Estudios Estratégicos e Internacionales, dijo que los informes de que Estados Unidos se está quedando atrás de China en la carrera hacia 5G son exagerados. También ofreció su opinión sobre cómo los EE. UU. Pueden trabajar para garantizar un 5G más seguro con sus aliados globales, algunos de los cuales todavía usan equipos Huawei o han promulgado solo prohibiciones parciales, como el Reino Unido.

“Donde hay desacuerdo es en cómo manejar el riesgo. Estados Unidos, Japón y Australia han prohibido la tecnología Huawei en sus redes. Esta es la única forma de eliminar el riesgo por completo ", dijo Lewis. “Quienes defienden una prohibición parcial argumentan que si se implementa adecuadamente, hace que el riesgo de usar Huawei sea manejable. Algunos países europeos copiarán la decisión del Reino Unido. Esto brinda a los EE. UU. La oportunidad de trabajar con nuestros aliados para garantizar que una prohibición parcial reduzca el riesgo y que pueda haber ventajas reales para la seguridad de las redes de telecomunicaciones y la ciberseguridad. El recientemente publicado 5G Toolbox de la Unión Europea proporciona un marco para guiar la política de una manera que, si se implementa completamente, reduciría el uso de infraestructura de telecomunicaciones por parte de China para el espionaje y la influencia ".

La raíz del problema 5G es el espionaje chino y las prácticas económicas depredadoras chinas ”, continuó Lewis. “Nuestros socios europeos y asiáticos se han dado cuenta del alcance de la campaña de espionaje chino contra ellos. Los países cercanos a China están ansiosos por cooperar, pero existe una ambivalencia en Europa. China no es una amenaza militar para ellos y existe una renuencia a admitir que el mercado chino del que depende Europa conlleva un riesgo económico real ... El espionaje, los subsidios ilícitos y los precios predatorios ayudaron a Huawei a impulsar a los fabricantes occidentales de telecomunicaciones del mercado y otros sectores. de la economía europea, como la aeroespacial y los automóviles, están ahora en riesgo. Nuestra tarea es persuadir a los aliados europeos de que es mejor si las democracias se mantienen unidas ".

El debate de Huawei continuó en RSA 2020

La audiencia del miércoles se produjo aproximadamente una semana después de un enérgico y a veces contencioso sesión del panel en la conferencia RSA 2020, durante la cual expertos en seguridad cibernética y funcionarios del Departamento de Defensa de EE. UU. y Huawei se enfrentaron por la decisión de Estados Unidos de prohibir el uso de productos de telecomunicaciones de Huawei por parte del gobierno federal.

El panelista Andy Purdy, CSO de Huawei Technologies USA, dio a entender que los legisladores estadounidenses y la administración Trump están señalando a Huawei porque tiene su sede en China y pasan por alto otras amenazas importantes que podrían representar una amenaza igual para las comunicaciones y otras infraestructuras críticas.

“¿Vamos a considerar un proveedor confiable porque no tiene su sede en China? No lo creo. Y creo que, cuando empiezo a aprender de todos ustedes, no podemos confiar en nadie ”, dijo Purdy. Por esa razón, continuó, es importante crear un sistema que elimine todas las amenazas de manera más amplia: un sistema "con estándares uniformes y programas de conformidad ... pruebas continuas y monitoreo continuo para ayudar a garantizar que estemos seguros".

Pero Katie Arrington, que supervisa la gestión de la cadena de suministro para el Departamento de Defensa como CISO de la Oficina del Subsecretario de Defensa para la Adquisición de la agencia, dijo que Arrington el Departamento de Defensa no basa sus evaluaciones de seguridad únicamente en el país de origen. "Siempre estamos mirando el código fuente ... dónde se creó el código fuente, quién lo creó y cómo se ha transmitido desde entonces", dijo.

Sin embargo, Arrington también insistió en que Huawei es un caso excepcional que requiere atención especial debido a la clara amenaza planteada. “Tenemos nuestros propios datos. La recomendación fue sacar a Huawei por una razón muy específica ”, dijo.

Según los informes, los funcionarios estadounidenses han acusado a Huawei de plantar puertas traseras en sus productos y redes de telecomunicaciones, puertas traseras que China podría aprovechar más tarde para el espionaje cibernético o incluso un ataque futuro a la infraestructura crítica.

Algunos observadores han dicho que la prohibición de los productos de Huawei por parte de los Estados Unidos carece de justificación debido a la escasez de evidencia disponible públicamente de que la compañía ha cometido irregularidades. Sin embargo, Arrington insistió en que el Departamento de Defensa no solo sigue la ley actual al imponer la prohibición, sino que también tiene conocimiento de su propia inteligencia clasificada que ilustra que tales medidas son necesarias.

Con respecto a la política de "desgarrar y reemplazar" establecida por la Ley de Redes de Comunicaciones Seguras y Confiables, que pronto se aprobará, Purdy formuló una serie de preguntas diseñadas para provocar el pensamiento de la audiencia: "¿Quién tiene más probabilidades de ser herido, Huawei o ¿Las empresas estadounidenses que apoyan la base industrial de defensa de Estados Unidos? Y antes de que el equipo de Huawei sea arrancado y reemplazado de las compañías que sirven a la América rural, ¿deberían los expertos considerar las consecuencias? ¿Deben considerarse medidas efectivas de mitigación de riesgos? ¿'Desgarrar y reemplazar' tomará más tiempo y más dinero de lo previsto? ” Purdy preguntó.

Pero Arrington insistió en que la prohibición era obvia. "Tener esto fuera de nuestros entornos más confiables no es algo que nos preocupe en el Departamento de Defensa, es un impedimento", dijo. "Es algo que hay que hacer porque el riesgo es muy alto".

Otros expertos comentaron que Estados Unidos aún podría hacer un mejor trabajo perfeccionando sus políticas de telecomunicaciones y seguridad 5G, y tenga cuidado de tomar medidas drásticas.

"No hemos tenido una respuesta en la conservación nacional sobre qué datos constituyen [un] riesgo de seguridad nacional y parte de la razón por la que no sabemos es porque no sabemos cómo se utilizarán los datos en el futuro". dijo Kathryn Waldon, miembro del Instituto R Street, una organización de investigación de políticas públicas y grupo de expertos. “… Pero sin saber la respuesta a eso, también es difícil juzgar la respuesta proporcional a una empresa en particular. Entonces, si bien definitivamente estoy de acuerdo ... en que no podemos simplemente mirar el país de origen, debe sospechar igualmente de las empresas estadounidenses, los condados europeos, al mismo tiempo, también estaría de acuerdo con Katie en ese país de origen para algunas empresas y algunas infraestructuras, existe un riesgo demasiado alto para que nos sintamos realmente cómodos al incluirlos en nuestra cadena de suministro ".

Mientras tanto, el destacado tecnólogo de seguridad de la Universidad de Harvard, Bruce Scheiner, intervino al opinar que Estados Unidos perjudica su posición al tratar la situación de Huawei como un problema de seguridad y un problema comercial, lo que plantea la cuestión de si la prohibición puede en parte ser una forma de EE. UU. Para obtener influencia en la actual guerra comercial con China.

“Desafortunadamente, cuando miras las noticias, la administración está tratando de jugar en ambos sentidos y creo que esto nos perjudica. Probablemente sea un problema de seguridad nacional, pero ... saliendo de la Casa Blanca, se habla mucho de que es un problema comercial. Y desearía que dejaran de hacer eso. O al menos, si lo están haciendo, deja de hablar de eso como un problema de seguridad nacional. Elegir uno."

El panel fue moderado por Craig Spiezle, director gerente de Agelight Advisory & Research Group y presidente emérito de Online Trust Alliance.