El gobierno finalizó una serie de nuevas reglas de seguridad cibernética y un código de práctica para proveedores de servicios de comunicaciones (CSP) que establecerá acciones específicas sobre cómo pueden cumplir con sus nuevas obligaciones legales bajo la Ley de Telecomunicaciones (Seguridad), que se convirtió en ley en noviembre de 2021.
Descrita por el gobierno como una de las regulaciones de seguridad de telecomunicaciones más estrictas del mundo, la ley pretende mejorar los estándares de seguridad en las redes móviles y de banda ancha críticas del Reino Unido.
Tiene sus inicios en la disputa de seguridad que envolvió a Huawei de China, que vio acusaciones de espionaje patrocinado por el estado dirigidas al proveedor, que culminó con la decisión de Westminster de 2020 de prohibir la venta futura de equipos de Huawei a los CSP y despojarlos de la infraestructura de red del Reino Unido. para 2027.
Entre otras cosas, la Ley rige la procedencia del equipo y el software utilizados en los sitios de las antenas telefónicas y las centrales telefónicas, e impone un deber legal más fuerte a los CSP de defender sus redes de ataques que podrían causar fallas en sus redes o conducir a la pérdida de datos confidenciales.
Sin embargo, los CSP actualmente son responsables de establecer sus propios estándares de seguridad, y una revisión de 2019 concluyó que es posible que tengan pocos incentivos para adoptar las mejores prácticas.
Como resultado, las nuevas regulaciones y el código de práctica, que se desarrollaron con el aporte del Centro Nacional de Seguridad Cibernética (NCSC) y el regulador de comunicaciones Ofcom, y estuvieron sujetos a una consulta pública, establecen acciones específicas que los CSP deben tomar para cumplir sus deberes legales, lo que, se espera, mejorará la resiliencia de la red mediante la incorporación de buenas prácticas de seguridad en sus actividades diarias y sus futuras decisiones de inversión.
“Sabemos cuán dañinos pueden ser los ataques cibernéticos en la infraestructura crítica, y nuestras redes móviles y de banda ancha son fundamentales para nuestra forma de vida”, dijo el ministro de infraestructura digital, Matt Warman. “Estamos aumentando las protecciones para estas redes vitales mediante la introducción de uno de los regímenes de seguridad de telecomunicaciones más estrictos del mundo que protege nuestras comunicaciones contra amenazas actuales y futuras”.
El director técnico de NCSC, el Dr. Ian Levy, agregó: “Dependemos cada vez más de nuestras redes de telecomunicaciones para nuestra vida diaria, nuestra economía y los servicios esenciales que todos usamos. Estas nuevas regulaciones garantizarán que la seguridad y la resiliencia de esas redes, y el equipo que las sustenta, sea apropiado para el futuro”.
Las regulaciones obligarán a los CSP a estas acciones:
- Para proteger los datos procesados por sus redes y servicios y asegurar las funciones críticas que les permiten operar y administrar sus redes y servicios.
- Proteger el software y los equipos que monitorean y analizan sus redes y servicios.
- Para formar una “comprensión profunda” de los riesgos que enfrentan y la capacidad de identificar actividades anómalas, respaldada por informes regulares a sus directorios.
- Para dar cuenta de los riesgos de la cadena de suministro, y comprender y controlar quién tiene la capacidad de acceder y realizar cambios en el funcionamiento de sus redes y servicios.
Las regulaciones serán supervisadas, monitoreadas y aplicadas por Ofcom, que, a partir de octubre de 2022, tendrá el poder de imponer multas de hasta el 10% de la facturación, o £100,000 por día en caso de una infracción en curso. Se establecerán como legislación secundaria en el Parlamento en breve, junto con el proyecto de código de prácticas para guiar a los CSP hacia el cumplimiento.
El gobierno dijo que se espera que los CSP cumplan plenamente para marzo de 2024 y se comprometió a actualizar el código periódicamente a medida que cambien las circunstancias.
