En una reunión con los funcionarios de la Secretaría del Consejo de Seguridad Nacional (NSCS) el martes, los fabricantes nacionales de equipos de telecomunicaciones señalaron que el régimen actual ofrece solo certificación única y una muestra limitada de equipos que se adquirirán, sin un mecanismo de auditoría continuo o dinámico para verificar y garantizar que los equipos certificados sigan siendo seguros una vez desplegados, las personas citadas anteriormente dijeron anteriormente en la condición de anonimato. La reunión asistió representantes de los operadores de telecomunicaciones, la Asociación de Operadores Celulares de la India (COAI) y funcionarios del Departamento de Telecomunicaciones (DOT), entre otras partes interesadas.
La Secretaría del Consejo de Seguridad Nacional es una unidad especializada a cargo directo del Asesor de Seguridad Nacional en la Oficina del Primer Ministro.
El marco de certificación de fuente de confianza de la India para equipos de telecomunicaciones requiere que los proveedores de servicios de telecomunicaciones compren e implementen equipo confiable de fuentes confiables solo en interés de la seguridad nacional. En pocas palabras, los equipos de telecomunicaciones requieren pruebas y certificación obligatorias antes de ser importados, vendidos o utilizados en la India. Esto garantiza que el equipo cumpla con los estándares nacionales e internacionales para la seguridad, las emisiones de radiofrecuencia, el rendimiento de la red y la seguridad nacional. Después de la autorización de la muestra, se emite una certificación de fuente confiable a los proveedores que luego obtienen suministros para los operadores de telecomunicaciones y otros que se utilizarán para los despliegue de la red e instalados en las instalaciones del consumidor.
Recientemente, el gobierno recibió quejas de que los chips de fuentes no controladas fueron adquiridas por proveedores con certificación de fuente confiable y suministrados a los operadores de telecomunicaciones, dijo uno de los funcionarios citados anteriormente, y agregó que cualquier dirección sobre el asunto entrará después de que se finalice la investigación.
“Algunas de las preocupaciones se produjeron con respecto al marco de origen confiable actual. Lo mismo está bajo investigación”, dijo un segundo funcionario, y agregó que de hecho es necesario fortalecer la infraestructura de prueba y certificación del país.
Las consultas enviadas por correo electrónico a NSC y el cuerpo de la industria de las telecomunicaciones COAI permanecieron sin respuesta hasta el momento de la publicación.
La investigación está siendo llevada a cabo por la Oficina del Coordinador de Seguridad Cibernética (NCSC), que trabaja bajo la Secretaría del Consejo de Seguridad Nacional (NSC), y coordina con otras agencias nacionales sobre ciberseguridad y aprueba fuentes confiables. NSCS asesora a la Oficina del Primer Ministro sobre asuntos de seguridad nacional e interés estratégico.
Los operadores de telecomunicaciones subcontratan la adquisición de equipos a los proveedores aprobados como compañías de confianza. Estos proveedores adquieren los chips y otros equipos de otros países antes de suministrarlos a los proveedores de servicios móviles.
“Actualmente, no hay un mecanismo para verificar si los equipos o chips suministrados por los proveedores con la certificación de fuente confiable son realmente de fuentes de confianza o no. Ha habido casos en los que algunos de los proveedores reemplazan a los chips por chinos por la reducción de costos después de obtener sus muestras aprobadas del gobierno”, dijo Rakesh Bhatnagar, General General de la Voz de la Voz de la Condech Enterprises, una organización que representa a la organización nacional de telecomos Makers Makers as. ASIGADO AS DIRECTOR MAKE AS Director de MAKEMACOMA ASIGADOR ASIGADOR ASISTER MAKE ASISTER MAKE MAKEME MAKEME AS Director de Telecom Ltd, STL Ltd, Vvdn y Tejas Networks.
Según Bhatnagar, NCSC debe realizar auditorías regulares de los suministros adquiridos por los proveedores y solicitar evidencia para garantizar la seguridad del país.
Durante la reunión, los operadores de telecomunicaciones también plantearon algunos problemas administrativos, con el proceso de certificación de fuente confiable. Sin embargo, los operadores instaron a los funcionarios a eliminar la práctica de la prueba de equipos y sistemas para cualquier actualización o renovación.
“Una vez que un equipo ya ha sido certificado como confiable, no deberíamos tener que pasar por todo el proceso de prueba nuevamente para cada pequeña actualización o renovación. Causa demoras y agrega documentos innecesarios”, dijo un ejecutivo de la industria que consulta a los operadores de telecomunicaciones bajo condición de anonimato.
En marzo de 2021, el DOT modificó la licencia de servicio de acceso unificado para evitar que los operadores de telecomunicaciones obtengan equipos de proveedores no confiables. El NCSC estaba autorizado para aprobar fuentes de confianza y empresas que pueden suministrar equipos. Según la Ley de Telecomunicaciones de 2023, el gobierno puede emitir instrucciones para adquirir equipos y servicios de telecomunicaciones solo de fuentes confiables.
Si bien India no ha prohibido explícitamente a los fabricantes de equipos chinos como Huawei y ZTE, ha instituido medidas que los excluyen efectivamente de la infraestructura de telecomunicaciones crucial del país y el despliegue de servicio 5G en las preocupaciones de seguridad nacional. Países como Estados Unidos, Australia, Canadá, el Reino Unido y Nueva Zelanda, entre otros, han restringido o prohibido a Huawei y ZTE debido a las preocupaciones de seguridad nacional relacionadas con el posible espionaje.
Los gobiernos temen que las empresas de tecnología china, que estén sujetas a las leyes nacionales de inteligencia de Beijing, podrían verse obligadas a cooperar con el gobierno chino al proporcionar acceso a datos o infraestructura confidenciales.
“India ha tomado medidas fuertes para asegurar su columna vertebral de las telecomunicaciones, pero a medida que aumentan las amenazas globales, creemos que la política debe pasar de la certificación estática a la aplicación dinámica. El estado de confianza no debe ser una actividad única, sino un requisito continuo de cumplimiento”, dijo Paritosh Prajapati, director ejecutivo de Sweden Group con sede en Sweden, que también es un benéfica de la India de la India (pli) para el shenicividad de la India.
Según Prajapati, sigue habiendo una brecha entre la política y la aplicación en el terreno, ya que hay una revisión limitada o ninguna posterior a la certificación para verificar si el equipo que se implementa continúa ajustándose con la “fuente de confianza”.
“Una vez que se otorga la certificación, no hay garantía de que los lotes o componentes posteriores se hayan alterado o cambiado intencionalmente o de otro tipo”, dijo, y agregó que las auditorías posteriores a la implementación deben ser obligatorias a nivel de operador.
El 8 de julio, Menta informó que el gobierno está configurado para etiquetar bases de datos de clientes, sistemas de enrutamiento, sistemas de gestión de relaciones con el cliente, equipos de línea de cable submarino y herramientas de servicios satelitales como infraestructura de telecomunicaciones o CTI crítica.
El objetivo de etiquetar CTI es reducir los riesgos de fugas de datos, mejorar la respuesta a las amenazas cibernéticas y generar una mayor confianza en los servicios digitales. Una vez notificados, las telecomunicaciones deben declarar su arquitectura de red, detalles de vulnerabilidad, análisis de amenazas o riesgos y plan de gestión de crisis cibernética. También tendrán que compartir auditorías de seguridad y informes de cumplimiento bajo las reglas CTI, 2024. Las telecomunicaciones también deben mantener registros de dónde proviene el equipo y compartir con el gobierno cuando se le solicite.
