Resumo

  • Um certificado de segurança em duas versões do software SGSN-MME da Ericsson expirou às 04:30 (horário do Reino Unido) em 6 de dezembro de 2018, interrompendo várias operadoras e países devido a uma dependência compartilhada do núcleo móvel.
  • Registros públicos apoiam uma clara divisão de controle prático: a Ericsson controlava o certificado embutido e o ciclo de vida do software; as operadoras controlavam a arquitetura de implantação, resposta a incidentes, comunicações com clientes e restauração de serviço; os reguladores controlavam a avaliação estatutária e as expectativas de garantia futura.
  • A Ofcom concluiu que a O2 tomou medidas apropriadas e não violou o dever de segurança aplicável no Reino Unido. Essa conclusão não apagou a lição mais ampla de que um provedor não pode terceirizar sua responsabilidade legal ou tratar um certificado não divulgado de um fornecedor como um problema de continuidade de outra pessoa.
  • O regulador do Japão tratou a interrupção da SoftBank como um acidente grave afetando cerca de 30,6 milhões de usuários e emitiu uma advertência e orientação administrativa por escrito. A SoftBank descreveu publicamente medidas de reversão, inventário, procedimentos de recuperação e fornecedores múltiplos.
  • O registro público de reparo é material, mas incompleto. Não inclui o relatório final de causa raiz da Ericsson, a identidade e o histórico de propriedade do certificado, a validação independente do software alterado ou evidências de que todas as instalações igualmente expostas foram remediadas.
  • Uma responsabilidade durável requer inventário de expiração, propriedade nomeada, controles de ciclo de vida alarmados independentemente, diversidade de domínio de falha, recuperação ensaiada, notificação ao cliente ciente de dependências e evidências que sobrevivam às garantias da administração.

O incidente foi programado por uma data, mas suas consequências foram arquiteturais

Às 04:30 no Reino Unido em 6 de dezembro de 2018, um certificado de segurança embutido atingiu sua data de expiração. A rede móvel da O2 começou a perder serviço. No Japão, onde o mesmo instante era 13:30, a rede da SoftBank falhou minutos depois. A Ericsson eventualmente disse que as perturbações diziam respeito a certos nós de núcleo de rede usados por um número limitado de clientes em vários países, que duas versões específicas de seu software Serving GPRS Support Node e Mobility Management Entidade estavam envolvidas, e que um certificado expirado era o principal problema identificado em sua análise inicial de causa raiz. Suaatualização oficial distribuída pela Cisiondisse que o software defeituoso estava sendo descomissionado e que a maioria dos serviços afetados havia sido restaurada durante o dia.

Essa descrição estabelece o gatilho, mas não explica completamente o problema de responsabilidade. Certificados são credenciais limitadas no tempo. Sob operfil de certificado X.509 e revogação de certificado, RFC 5280do Internet Engineering Task Force, um certificado carrega um intervalo de validade definido pornotBeforeenotAfter; um sistema dependente deve ser capaz de determinar se o certificado é válido no momento relevante. O papel preciso do certificado da Ericsson não foi documentado publicamente em detalhes suficientes para reconstruir seu caminho de validação. O que é confirmado é que sua expiração interagiu com o software de uma forma que interrompeu as funções do núcleo da rede. O instante de expiração era determinístico. As consequências nacionais e transfronteiriças foram produtos de onde o software estava, quão uniformemente havia sido implantado e quais opções de recuperação estavam disponíveis após a falha.

O SGSN-MME afetado não era um aplicativo opcional voltado para o cliente na borda da rede. Adescrição atual do produto SGSN-MME da Ericssondescreve uma função de controle do núcleo de pacotes que suporta gerenciamento de mobilidade e sessão em acesso GSM, WCDMA e LTE. Essa descrição atual não pode por si só estabelecer todos os detalhes do design de uma operadora em 2018. Explica, no entanto, por que uma falha nessa classe de componente pode ter efeitos muito além de um servidor: a função ajuda os dispositivos a se conectarem, permanecerem acessíveis e estabelecerem sessões de dados. Um defeito de software comum replicado entre os nós destinados a fornecer capacidade ou resiliência geográfica pode, portanto, derrotar a redundância física no mesmo instante.

Essa distinção é importante. Uma expiração de certificado é às vezes enquadrada como uma omissão de manutenção: renove a credencial, reinicie o serviço, siga em frente. Em um núcleo móvel nacional, no entanto, a unidade de controle relevante não é apenas o certificado. É o sistema combinado de governança de versão de software, inventário de credenciais, independência de alarmes, aceitação da operadora, diversidade de implantação, prontidão para reversão, reconexão de assinantes e comunicações. O evento de dezembro de 2018 testou todo esse sistema.

Seu valor como um caso de responsabilidade reside na forma como uma pequena condição programada expôs um grande domínio de falha compartilhado.

Uma linha do tempo auditável mostra dois incidentes nacionais com um gatilho de fornecedor

O registro do Reino Unido é excepcionalmente detalhado porque a Ofcom investigou. Suadecisão concluindo a investigação da interrupção da rede O2afirma que a interrupção começou às 04:30 e durou quase 23 horas. Afetou todos os aproximadamente 25 milhões de clientes diretos da O2, bem como conexões fornecidas através de operadores de rede virtual móvel. Em diferentes momentos, dados móveis, chamadas e mensagens ficaram indisponíveis. A O2 convocou sua equipe de incidente principal às 04:50, 20 minutos após a primeira falha, e estabeleceu pontes de comunicação com a Ericsson. Uma equipe de incidente principal no nível do conselho, presidida pelo diretor executivo da O2, supervisionou a resposta.

O caminho técnico para a recuperação não foi uma simples substituição de certificado ou reinicialização imediata. A Ofcom registrou que levou cerca de 12 horas para chegar a uma correção bem-sucedida. A O2 e a Ericsson então restauraram o serviço em fases porque reconectar uma população nacional de assinantes de uma só vez corria o risco de congestionamento e sobrecarga. A O2 restaurou o serviço 2G e 3G por volta das 21:30. Começou a restaurar o 4G por volta das 23:30 e concluiu esse trabalho às 03:12 de 7 de dezembro.

A sequência em fases é uma evidência importante: mesmo depois que os engenheiros neutralizaram a condição inicial do software, a rede ainda tinha que gerenciar uma onda de recuperação potencialmente desestabilizadora.

Oregistro público do casoda Ofcom adiciona a linha do tempo processual. O regulador abriu sua investigação em 22 de fevereiro de 2019 e a encerrou em 1º de novembro de 2019. Avaliou se a O2 tomou medidas apropriadas para manter a segurança e disponibilidade da rede e se o provedor tomou todas as medidas apropriadas para restaurar o serviço. A investigação terminou sem constatação de violação, mas com expectativas detalhadas sobre como os provedores devem garantir os controles de certificados dos fornecedores no futuro.

A Ofcom também incorporou a interrupção em seurelatório Connected Nations 2018. O relatório observou os efeitos nos próprios clientes da O2 e em marcas atacadistas, incluindo Tesco Mobile, Sky Mobile, TalkTalk Mobile, giffgaff e Lycamobile. Observou que a voz e as mensagens também foram afetadas durante partes do incidente e da recuperação. Identificou lições práticas de resiliência, incluindo verificar elementos-chave da rede, seguir boas práticas ao reconectar grandes números de usuários e considerar maior redundância do plano de controle para redes que suportam clientes atacadistas.

A empresa-mãe da O2 forneceu os detalhes da resposta comercial. ORelatório Integrado de Gestão de 2018da Telefónica registrou o evento como uma interrupção significativa causada pela expiração de um certificado da Ericsson e descreveu a interrupção do 2G e 3G durando cerca de 17 horas e a interrupção do 4G durando cerca de 24 horas. A O2 ofereceu aos clientes mensais diretos um crédito equivalente a dois dias de cobranças mensais, aos clientes pré-pagos um adicional de 10% em uma recarga de janeiro e aos clientes de banda larga móvel um desconto de 10% em uma compra de janeiro. O relatório, portanto, confirma uma transferência concreta de custo dos usuários para a operadora, embora não publique um valor monetário total para os créditos ou o custo total do incidente.

A linha do tempo pública da SoftBank começa às 13:39, horário padrão do Japão. Seucomunicado do incidente de 6 de dezembrodiz que o serviço LTE nacional para clientes SoftBank e Y!mobile ficou indisponível ou difícil de usar até as 18:04, um período de quatro horas e 25 minutos. Os efeitos também alcançaram o serviço de linha fixa Ouchi-no-Denwa e parte do SoftBank Air. O tráfego se moveu para o 3G, causando congestionamento lá. A SoftBank disse que todos os comutadores de pacotes da Ericsson em Tóquio e Osaka foram afetados, que o software estava em uso há nove meses e que a Ericsson havia relatado incidentes simultâneos em operadoras de 11 países. A SoftBank restaurou o serviço aplicando software mais antigo a todos os comutadores afetados.

Aexplicação do incidente de 12 de dezembroda SoftBank aguçou a evidência de controle. Atribuiu a falha ao tratamento incorreto de uma expiração no software do comutador da Ericsson e disse que as informações relevantes de expiração foram incorporadas pela Ericsson no envio e não podiam ser inspecionadas pela SoftBank. A empresa disse que migrou para um software que tratava corretamente a expiração e verificou os principais equipamentos de comunicação, incluindo os sistemas afetados, em busca de problemas semelhantes. Esta é uma declaração direta da operadora, não um exame técnico independente, mas é central para localizar quem podia ver e alterar a condição iniciadora antes de 6 de dezembro.

Em um briefing de gestão em 19 de dezembro, resumido norelato oficial de notícias corporativasda SoftBank, a operadora colocou o impacto em aproximadamente 30,6 milhões de linhas. O relato fornece uma sequência de recuperação minuto a minuto: a falha começou às 13:39; o primeiro aviso no site apareceu às 14:19; o trabalho de separação começou às 14:45; os controles de tráfego LTE foram aplicados às 14:57; o provável problema do comutador LTE foi identificado às 15:54; a atualização de todos os comutadores LTE começou às 16:22; o oeste do Japão se recuperou às 17:35; e a restauração nacional foi declarada às 18:04. Este registro não torna as duas recuperações nacionais diretamente comparáveis. Seus designs de rede, condições de estado do assinante e convenções de relatório eram diferentes e não são totalmente públicos. Mostra que as operadoras enfrentando um gatilho compartilhado usaram diferentes caminhos técnicos de recuperação e restauraram o serviço em cronogramas materialmente diferentes.

O controle prático foi dividido, mas não foi distribuído uniformemente

A responsabilidade se torna mais clara quando é separada em controle antes da falha, controle durante a falha e o dever de provar o reparo. A Ericsson tinha controle direto sobre a fonte do software, a embalagem da versão e a condição do certificado embutido nas versões afetadas. O registro público indica que a O2 não foi informada sobre o certificado codificado ou seu risco e que a SoftBank não pôde inspecionar as informações de expiração embutidas.

Esses fatos colocaram os controles preventivos mais diretos com o fornecedor: manter um inventário autoritativo, atribuir um proprietário, renovar ou remover a credencial, testar o comportamento nos limites de expiração e além, alertar independentemente do caminho de código afetado e notificar cada cliente exposto com tempo suficiente para agir.

As operadoras, no entanto, mantiveram um controle substancial. Elas selecionaram e implantaram versões, negociaram obrigações dos fornecedores, projetaram a topologia e os domínios de falha, aprovaram procedimentos de manutenção e reversão, monitoraram a saúde do serviço, declararam incidentes, comunicaram-se com clientes e reguladores e gerenciaram a reconexão em massa de dispositivos. Alguns controles preventivos podem ter sido impraticáveis para uma credencial invisível dentro do software proprietário.

O confinamento arquitetônico, a garantia do fornecedor, o ensaio de recuperação e o aviso público permaneceram responsabilidades da operadora. O fato de uma operadora não poder inspecionar um campo oculto não significa que ela não tinha influência sobre o sistema de continuidade circundante.

A Ofcom tornou esse limite legal e operacional explícito. Sua decisão disse que um provedor de comunicações não pode terceirizar suas obrigações legais ao externalizar funções de rede para terceiros. Ao mesmo tempo, o regulador examinou o que a O2 poderia razoavelmente ter feito nas circunstâncias.

Concluiu que a O2 possuía arranjos contratuais, de teste e de gerenciamento de risco robustos; que a Ericsson não havia divulgado a codificação rígida ou o risco associado; que o erro específico não foi projetado nos testes de aceitação da O2; e que adicionar um controle para detectar esse problema específico antecipadamente não era técnica ou comercialmente viável para a O2 com base nas evidências disponíveis. Responsabilidade, nesta decisão, não era responsabilidade estrita por cada defeito do fornecedor.

Era um teste baseado em evidências de se o provedor licenciado havia tomado medidas proporcionais aos riscos que podia conhecer e controlar.

A linha de base estatutária em vigor na época pode ser lida na versão histórica daseção 105A do Communications Act 2003. Exigia que os provedores de redes e serviços de comunicações eletrônicas públicas tomassem medidas adequadas para gerenciar riscos à segurança, incluindo medidas destinadas a minimizar o impacto de incidentes de segurança nos usuários finais e nas redes interconectadas. A conclusão de não violação da Ofcom deve ser entendida contra esse padrão e as evidências da investigação. Não foi uma declaração de que a interrupção foi inofensiva, que os certificados não exigiam governança ou que as operadoras poderiam ignorar o risco de fornecedor de modo comum após a lição se tornar conhecida.

As operadoras de rede virtual móvel e os clientes empresariais ocuparam uma posição de controle mais fraca. Eles dependiam da rede subjacente da O2 e não podiam corrigir o software central da Ericsson ou sequenciar a recuperação nacional de assinantes. Seus controles eram visibilidade contratual, planejamento de continuidade de negócios, opções multi-rede quando justificado, comunicações com clientes e escalonamento. O registro Connected Nations demonstra por que a cadeia de fornecedores importa: uma condição no núcleo da rede alcançou marcas que muitos consumidores não associariam necessariamente à O2.

Um mapa de dependência que para na marca de varejo não teria descrito o domínio de falha real.

Os reguladores detinham um tipo diferente de controle. Eles podiam exigir relatórios de incidentes, compelir evidências, avaliar a conformidade estatutária e converter um evento único em expectativas de garantia voltadas para o futuro. Não podiam renovar o certificado embutido ou restaurar um comutador. Seu papel de responsabilidade era testar se aqueles com controle operacional se comportaram adequadamente e se o setor mudou seus controles após o evento. Investidores e conselhos, entretanto, controlavam incentivos, orçamentos e supervisão.

Eles precisavam perguntar se as alegações de alta disponibilidade cobriam datas comuns de software, se a remediação foi verificada em toda a base instalada e se a concentração de fornecedores era visível como uma exposição de continuidade, e não apenas um fato de aquisição.

Os usuários afetados pela interrupção não tinham quase nenhum controle preventivo. Eles podiam tentar novamente, mudar para Wi-Fi, usar outro provedor se já tivessem um ou esperar. Essa assimetria é a razão pela qual a responsabilidade pública não pode repousar na alegação de que os clientes foram informados posteriormente. Aviso e compensação são importantes, mas operam depois que o risco já foi alocado para pessoas que não podiam inspecionar o certificado nem escolher como o núcleo de pacotes foi construído.

O dano se estendeu além das sessões de dados perdidas, enquanto o custo total permanece desconhecido

A escala confirmada é grande, mas deve ser declarada com cuidado. A O2 relatou aproximadamente 25 milhões de clientes diretos, além de conexões atacadistas. A SoftBank descreveu posteriormente aproximadamente 30,6 milhões de linhas afetadas. Esses números usam unidades diferentes e podem incluir várias assinaturas detidas por uma pessoa, portanto, não devem ser somados e apresentados como uma contagem de indivíduos únicos. A Ericsson e a SoftBank descreveram efeitos em vários países, mas o registro de fonte primária pública revisado aqui não suporta um total mundial operadora por operadora completo.

Os efeitos no serviço foram mais amplos do que internet móvel lenta. A Ofcom descobriu que dados, chamadas e mensagens estavam indisponíveis em diferentes momentos no Reino Unido. A SoftBank relatou falha nacional de LTE, congestionamento no 3G, interrupção de um produto de linha fixa e impacto parcial em um produto de banda larga sem fio. O Ministério de Assuntos Internos e Comunicações do Japão tratou o evento como um acidente grave sob a lei de telecomunicações. Seuaviso sobre o recebimento do relatório de acidente grave da SoftBankdocumenta o passo formal de relatório após a interrupção, ancorando o evento em um processo legal, e não apenas em comunicações corporativas de incidentes.

Oanúncio de advertência e orientação administrativa de 23 de janeiro de 2019do ministério registrou uma interrupção de aproximadamente quatro horas e 25 minutos afetando cerca de 30,6 milhões de usuários. Enfatizou o papel da rede móvel no transporte de chamadas de emergência e como uma tábua de salvação social, e descreveu o impacto social como extremamente grande. Essa declaração apoia uma constatação de risco sistêmico. Não estabelece que uma chamada de emergência específica falhou, que uma pessoa específica foi ferida ou que a interrupção causou uma morte. Esses resultados não estão documentados no registro público citado e devem permanecer não reivindicados.

O dano financeiro também é apenas parcialmente visível. Os créditos da O2 são confirmados. Clientes e empresas também perderam tempo, transações e acesso, mas nenhum total auditado é público. A SoftBank descreveu a remediação que incluiu revisão de equipamentos, mudanças processuais e maior diversidade; os materiais públicos não isolam seus custos. A Ericsson se desculpou e trabalhou na restauração, mas sua atualização não divulgou compensação paga às operadoras, gastos de engenharia ou responsabilidade contratual.

Qualquer valor único de perda global, portanto, misturaria créditos confirmados com suposições não apoiadas sobre comportamento do cliente, acordos de nível de serviço e interrupção de negócios a jusante.

Houve custos de responsabilidade menos visíveis. Equipes de incidentes trabalharam em limites de fornecedores e operadoras por horas. Reguladores coletaram e revisaram evidências técnicas e contratuais. Operadoras tiveram que explicar uma falha que não controlavam totalmente aos clientes cujo relacionamento era com a operadora, não com o fornecedor de equipamentos. Marcas atacadistas herdaram um problema de comunicação de uma camada de rede fora de sua gestão direta. Estas são categorias reais de ônus, mas o registro público não fornece dados suficientes para monetizá-las de forma responsável.

O dano mais durável foi a descoberta de que a suposta redundância poderia compartilhar uma expiração oculta. Se software idêntico e estado de credencial são reproduzidos entre nós, adicionar mais nós pode adicionar capacidade sem criar independência desse estado. Esta é uma inferência apoiada pela declaração da SoftBank de que todos os comutadores de pacotes relevantes da Ericsson falharam e pelos efeitos nacionais da O2. Não é prova de que todos os nós em cada rede afetada tinham uma topologia idêntica, nem estabelece o caminho exato de execução do software.

A distinção protege a análise de transformar uma lição arquitetônica em um relatório forense inventado.

O registro regulatório inocentou a O2 de violação, mas elevou o padrão de garantia

A decisão da Ofcom é mais útil do que um simples resumo de culpado ou inocente. O regulador concluiu que a O2 tomou medidas apropriadas para gerenciar riscos de segurança e tomou todas as medidas apropriadas para restaurar o serviço. Portanto, não constatou violação da seção 105A(4). Sua fundamentação creditou a estrutura contratual da O2 com a Ericsson, os arranjos de teste, o gerenciamento de risco, a organização rápida de incidentes, a supervisão sênior, a colaboração com o fornecedor e a restauração cautelosa em fases.

Também aceitou que o certificado codificado não divulgado e esse modo específico de falha estavam fora do que a O2 poderia razoavelmente identificar através de seu processo de aceitação existente.

Essa conclusão estabeleceu um limite para a responsabilidade retrospectiva sob as evidências então disponíveis. Não congelou o limite para incidentes futuros. Uma vez que o modo de falha foi conhecido, os provedores não podiam mais tratar a expiração de certificado embutido como totalmente imprevisível.

A Ofcom declarou expectativas futuras de que os provedores busquem garantias sobre as políticas de certificados dos fornecedores, monitoramento do ciclo de vida e tratamento de exceções; garantam que os desvios da política sejam documentados e revisados; testem o uso de certificados cuidadosamente onde a disponibilidade possa ser afetada; e mantenham processos proporcionais para certificados em suas redes. A Ofcom também disse que seu próprio trabalho de garantia de segurança perguntaria especificamente sobre o uso e a expiração de certificados.

Esta é a mudança central de responsabilidade. Antes de 6 de dezembro, a Ofcom aceitou evidências de que a O2 não poderia razoavelmente ter adicionado um controle preventivo específico. Após 6 de dezembro, o regulador converteu o evento em conhecimento do setor. Um provedor avaliando uma credencial oculta comparável em anos posteriores enfrentaria uma questão diferente de previsibilidade. A responsabilidade durável, portanto, depende não apenas se a conduta atendeu ao padrão no instante da falha, mas também se as organizações absorveram uma lição documentada em aquisição, aceitação, operações e auditoria.

O registro japonês seguiu um caminho formal diferente. O Ministério de Assuntos Internos e Comunicações recebeu o relatório de acidente grave da SoftBank no final de dezembro e emitiu uma advertência estrita e orientação administrativa por escrito em janeiro. Acarta de orientação formalé o instrumento escrito autoritativo associado ao anúncio do ministério. O ministério solicitou medidas concretas de prevenção de recorrência e relatórios, enquanto seu relato público destacou coordenação interna e externa, informações fornecidas aos usuários e compartilhamento de lições em todo o setor. A ação foi direcionada à SoftBank como operadora licenciada, mesmo que a condição inicial do software fosse atribuída à Ericsson. Essa alocação reflete o princípio do Reino Unido em termos práticos: a operadora permanece responsável perante o regulador do setor pela continuidade e comunicações públicas, enquanto o controle do fornecedor sobre o defeito permanece parte da análise factual.

Os dois resultados regulatórios não devem ser colapsados em uma contradição. A Ofcom conduziu uma investigação estatutária detalhada e considerou a O2 em conformidade. O ministério japonês emitiu uma advertência e orientação administrativa após o relatório da SoftBank. Os arcabouços legais, procedimentos e registros de evidência diferiram. Nenhum dos resultados por si só estabelece responsabilidade civil entre fornecedor e operadora. Nenhum registro público publica os contratos relevantes, disposições de garantia ou qualquer acordo confidencial.

A responsabilidade legal no domínio público é, portanto, mais forte no nível dos deveres da operadora e das conclusões do regulador, não na alocação privada de danos.

O caso também demonstra por que a revisão regulatória deve examinar os fornecedores sem fingir que o regulador os opera diretamente. A Ofcom coletou informações substanciais da Ericsson e as usou na avaliação da O2. Pôde comparar os controles da operadora com o que o fornecedor havia divulgado. Uma revisão séria de infraestrutura crítica terceirizada precisa desse alcance. Se a investigação considerasse apenas documentos já visíveis para a operadora, a parte com o conhecimento mais direto de uma condição embutida poderia permanecer fora do quadro de evidências.

Evidências de reparo existem, mas as alegações de garantia ainda têm lacunas

A atualização do mesmo dia da Ericsson é a primeira camada de evidência de reparo. Disse que o software defeituoso estava sendo descomissionado, que os serviços estavam sendo restaurados e que uma análise inicial havia identificado um certificado expirado enquanto uma análise completa da causa raiz continuava. A declaração incluiu um pedido de desculpas do diretor executivo. Não publicou a análise final, identificou o certificado, explicou como ele entrou nas versões, afirmou há quanto tempo era conhecido ou listou todos os clientes e versões afetados.

Uma atualização operacional do mesmo dia é apropriada para a restauração, mas não substitui um registro de encerramento técnico durável.

A evidência de reparo da O2 é mais forte no processo de resposta. A Ofcom revisou a governança de incidentes, colaboração técnica, sequenciamento de restauração, gerenciamento de fornecedores e mudanças pós-incidente. O regulador considerou a resposta apropriada e descreveu medidas futuras de garantia de certificados. A Telefónica documentou a compensação aos clientes. As limitações ainda são materiais: a decisão pública resume evidências em vez de publicar artefatos de configuração, resultados de testes ou um inventário de remediação versão por versão. A ausência desses artefatos em público não significa que nunca existiram.

Significa que leitores externos não podem usá-los para verificar a remoção completa do risco.

A SoftBank divulgou um conjunto mais amplo de medidas técnicas e organizacionais. Seu briefing de dezembro disse que completaria um inventário de certificados em equipamentos comerciais, encurtaria o procedimento para inicialização de emergência de software mais antigo, mudaria os designs para que uma condição semelhante não parasse o sistema, adicionaria comutadores LTE e promoveria implantação multi-fornecedor. Também disse que havia verificado os principais equipamentos de comunicação em busca de problemas semelhantes. Essas medidas mapeiam sensatamente para prevenção, recuperação e contenção.

São alegações da empresa, no entanto, e o registro público citado não inclui relatórios de teste independentes mostrando que o inventário estava completo ou que uma simulação de expiração posterior foi bem-sucedida.

A diferença entre ação e prova é central. "Verificamos certificados" é uma declaração de ação. A prova durável identificaria a população verificada, método de descoberta, proprietários responsáveis, exceções, horizontes de expiração, caminhos de alerta, datas de encerramento e amostragem independente. "Adicionamos redundância" é uma declaração de ação. A prova durável mostraria que os caminhos redundantes não compartilham a mesma credencial, data de software ou dependência de gerenciamento. "Podemos reverter" é uma declaração de ação.

A prova durável mostraria uma reversão ensaiada sob carga, efeitos conhecidos no estado do assinante, objetivos de tempo de restauração e critérios para escolher reversão em vez de correção no local.

Já existia um modelo de controle relevante antes do incidente. Em novembro de 2017, o Instituto Nacional de Padrões e Tecnologia dos EUA publicou umadescrição do projeto de gerenciamento de certificados de servidor TLS. Descreveu os riscos de interrupção criados por certificados expirados e pediu um inventário formal, proprietários identificados, descoberta e monitoramento automatizados, relatórios de status e remediação organizada. Essa publicação não foi escrita para a implementação do núcleo móvel da Ericsson, e o registro público não estabelece que a credencial embutida era um certificado de servidor TLS convencional gerenciado pelas mesmas ferramentas. Seu valor probatório é mais restrito: o problema geral de governança da expiração de certificados foi documentado antes de dezembro de 2018, mesmo que esse comportamento de software específico e implantação não fossem conhecidos pela O2.

O NIST publicou posteriormente oguia de prática SP 1800-16 sobre segurança de transações web através do gerenciamento de certificados de servidor TLSmais completo. Novamente, uma arquitetura de referência de certificado web não pode ser transplantada mecanicamente para um núcleo de pacotes de operadora. Os princípios duradouros são transferíveis: descobrir certificados, vinculá-los a proprietários e sistemas responsáveis, monitorar o estado do ciclo de vida, proteger o acesso de gerenciamento, automatizar a renovação segura quando adequado, testar mudanças e reter evidências operacionais. Para credenciais embutidas ou proprietárias, a implementação pode precisar de atestados do fornecedor, listas de materiais de software para dependências de credenciais, manipulação de tempo em laboratório e aviso prévio contratualmente exigido em vez de ferramentas comuns de descoberta empresarial.

As especificações atuais de segurança de telecomunicações agora tornam explícita a preocupação com a disponibilidade. A edição de janeiro de 2026 daETSI TS 133 310 sobre segurança de domínio de rede e infraestrutura de chave públicainclui disposições de ciclo de vida de certificados e expectativas de alarme relacionadas à expiração destinadas a mitigar a indisponibilidade do serviço. É um benchmark atual, não evidência dos requisitos exatos aplicados à Ericsson ou às operadoras em 2018, e não prova remediação em qualquer rede instalada. Demonstra o que um ambiente de controle durável deve agora ser capaz de operacionalizar: a expiração deve produzir ação gerenciada antes de produzir perda de serviço.

Contrafactuais separam falha evitável de detalhe incognoscível

Um contrafactual disciplinado pergunta que controle específico teria mudado o resultado sem assumir fatos que permanecem privados. O contrafactual de prevenção mais forte é um inventário autoritativo de credenciais do lado do fornecedor vinculado à versão e implantação do cliente. Se o certificado embutido tivesse um proprietário nomeado, horizonte de expiração monitorado e escalonamento independente do software afetado, a data poderia ter desencadeado renovação, substituição, remoção ou uma campanha de atualização do cliente antes de 6 de dezembro.

Esta é uma inferência apoiada no intervalo de validade determinístico e na prática estabelecida de gerenciamento de certificados. Não revela por que os controles reais da Ericsson falharam.

Um contrafactual do lado da operadora é menos direto, mas ainda significativo. Um contrato e um processo de garantia de versão poderiam exigir que o fornecedor divulgasse toda credencial capaz de afetar a disponibilidade, sua data de expiração, design de renovação, comportamento de alarme e versões afetadas. As operadoras poderiam exigir um inventário de expiração legível por máquina ou uma atestação assinada para componentes proprietários que não podem inspecionar.

A Ofcom descobriu que os controles existentes da O2 eram razoáveis para o risco não divulgado, portanto, isso não deve ser reescrito como um controle que a O2 era legalmente obrigada a ter em 2018. É um controle prospectivo tornado razoável pelo próprio incidente.

A contenção fornece um segundo contrafactual. A SoftBank disse que todos os comutadores de pacotes da Ericsson em Tóquio e Osaka falharam. Se os nós redundantes compartilhavam o mesmo software e condição de expiração, sua separação física não criou independência lógica. Diversidade de versão, implantação em estágios, diversidade de credenciais ou uma espera implementada separadamente poderiam ter reduzido o domínio de falha comum. A arquitetura multi-fornecedor é uma rota possível, e a SoftBank a nomeou como uma medida permanente.

Não é isenta de custos: múltiplos fornecedores podem criar complexidade de interoperabilidade, operacional e de garantia. O teste de responsabilidade não é se uma operadora comprou uma segunda marca, mas se identificou quais falhas permaneceram comuns em caminhos supostamente independentes e justificou o risco residual.

A recuperação oferece a comparação observada mais clara. A SoftBank reverteu para software mais antigo e restaurou o LTE em quatro horas e 25 minutos. A O2 e a Ericsson levaram cerca de 12 horas para chegar a uma correção bem-sucedida, depois restauraram gerações em fases e completaram a recuperação do 4G quase 23 horas após o início. Um pacote de reversão pré-validado, backup de configuração atual, autoridade de decisão praticada e plano de reconexão de assinantes poderiam encurtar uma interrupção futura. Não seria sólido inferir apenas da duração que a equipe de uma operadora era melhor.

O registro público não divulga topologia equivalente, carga, restrições de segurança ou os defeitos presentes em cada opção de reversão.

As comunicações formam um terceiro contrafactual. Avisos mais precoces, declarações mais claras sobre serviços afetados e mensagens coordenadas entre marcas atacadistas não reparariam a rede. Poderiam reduzir o esforço desperdiçado do usuário, ajudar organizações a invocar planos de continuidade e permitir que usuários de serviços de emergência busquem alternativas. O regulador do Japão tratou especificamente a informação ao usuário e a coordenação como parte do problema de remediação.

A medida durável não é o volume de atualizações, mas se são oportunas, consistentes, acessíveis através de canais não afetados e explícitas sobre o que permanece indisponível.

Finalmente, a compensação aborda uma parte do dano após o fato. Os créditos da O2 reconheceram a falha de serviço sem exigir que cada cliente provasse uma perda individual. Não compensaram todas as interrupções de negócios a jusante, nem impediram a recorrência. Um sistema de responsabilidade maduro usa compensação, remediação técnica e divulgação de evidências como ferramentas separadas. Nenhuma pode substituir as outras.

Fatos confirmados, inferências apoiadas e desconhecidos

Fatos confirmados.A Ericsson disse que duas versões específicas de software SGSN-MME usadas por um número limitado de clientes em vários países estavam envolvidas e identificou um certificado expirado como o principal problema em sua análise inicial. A Ofcom descobriu que um certificado de segurança embutido ou codificado expirou às 04:30, horário do Reino Unido, causando a interrupção da O2; documentou quase 23 horas de interrupção, cerca de 25 milhões de clientes diretos da O2 mais conexões atacadistas, uma ativação da equipe de incidente em 20 minutos, um caminho de cerca de 12 horas para uma correção bem-sucedida e restauração em fases. A Ofcom não constatou violação pela O2 e considerou suas medidas preventivas e restaurativas apropriadas. A SoftBank relatou uma interrupção nacional de LTE de quatro horas e 25 minutos, congestionamento e efeitos de serviço relacionados, uma reversão para software mais antigo, comutadores da Ericsson em Tóquio e Osaka e informações da Ericsson de que operadoras em 11 países experimentaram incidentes simultâneos. O ministério do Japão registrou cerca de 30,6 milhões de usuários afetados e emitiu uma advertência e orientação por escrito. A Telefónica documentou créditos aos clientes da O2. A SoftBank descreveu publicamente medidas de inventário, recuperação e diversidade.

Inferências apoiadas.A expiração determinística deveria ter sido detectável por quem detivesse um inventário preciso e visibilidade da credencial embutida. A replicação do mesmo software vulnerável e estado de credencial criou risco correlacionado que a redundância física de nós sozinha não poderia conter. O controle mais direto antes da falha estava com a Ericsson porque as operadoras disseram que a condição relevante não foi divulgada ou não era inspecionável, enquanto as operadoras mantiveram controle sobre arquitetura, garantia do fornecedor, resposta, restauração, aviso e reparação ao cliente. Uma reversão pré-validada e um procedimento de reconexão em massa poderiam reduzir o tempo de recuperação em um evento comparável. Após o incidente, a expiração de certificado embutido tornou-se uma classe previsível de risco de continuidade para operadoras e fornecedores, mesmo que o mecanismo exato de falha no nível do código permanecesse proprietário.

Desconhecidos.O registro público não identifica o certificado por assunto, emissor, número de série, impressão digital ou datas de validade exatas além do tempo de expiração observado. Não publica o papel preciso do protocolo do certificado, o caminho de código que converteu a expiração em falha do nó, quem o criou ou aprovou, quais portões de revisão ele passou, que alertas existiam ou por que esses alertas não impediram a interrupção. O relatório final de causa raiz da Ericsson não é público no registro citado. Não há lista pública completa de todos os países, operadoras, nós ou versões de software afetados. Os contratos e qualquer alocação privada de responsabilidade não estão disponíveis. Perdas totais, pagamentos de fornecedores e custos de remediação não são auditados publicamente. O registro não estabelece um ataque cibernético ou ato malicioso. Não fornece verificação independente em toda a frota de que todos os reparos e inventário de certificados estavam completos.

Essas categorias não devem ser borradas. Fatos confirmados são fortes o suficiente para alocar controle prático em um nível funcional. Inferências apoiadas mostram como controles de continuidade poderiam ter interrompido a sequência. Desconhecidos impedem alegações sobre culpa individual, motivo, negligência dentro da Ericsson, danos privados ou integralidade da remediação. A responsabilidade é fortalecida, não enfraquecida, quando esses limites são explícitos.

Um teste de responsabilidade durável para software de núcleo móvel compartilhado

O incidente merece encerramento apenas quando um fornecedor e cada operadora dependente puderem responder a um conjunto de perguntas de evidência. A primeira éescopo: quais produtos, versões, nós, redes e clientes contêm um certificado ou outra dependência limitada no tempo capaz de afetar o serviço? Um inventário deve incluir credenciais embutidas que scanners de rede comuns não podem ver. Deve mapear cada item para uma versão de software, população de implantação, serviço de negócio, proprietário e horizonte de expiração. Uma porcentagem sem um denominador definido não é suficiente.

A segunda épropriedade: quem pode renovar, substituir ou remover a credencial, e quem deve agir quando o proprietário é um fornecedor? A propriedade deve ser uma função com autoridade, orçamento e uma rota de escalonamento, não um alias de e-mail. Os contratos com fornecedores devem especificar divulgação, períodos de aviso prévio, correções de emergência, versões de reversão suportadas, entrega de evidências e o tratamento de software em fim de vida. A aceitação da operadora deve verificar se essas obrigações estão refletidas nos dados reais da versão.

A terceira éindependência de detecção: o aviso sobreviveria à mesma condição que ameaça o serviço? Um alarme gerado apenas pelo componente expirante pode desaparecer quando o componente para. O monitoramento do ciclo de vida deve, portanto, usar uma fonte de verdade gerenciada separadamente e múltiplos limiares de aviso. Exceções, incluindo certificados codificados e credenciais que não podem ser renovadas automaticamente, devem ser documentadas, aprovadas, limitadas no tempo e revisadas em um nível apropriado.

A quarta sãotestes de limite. Um laboratório deve testar o comportamento antes, na e após os limites de validade relevantes, incluindo mudanças de relógio, substituição de certificado, reinicialização, failover e reversão. O teste deve cobrir a disponibilidade do plano de controle e o efeito em dispositivos tentando se conectar ou restabelecer sessões. Um teste de aceitação genérico que prova operação normal na data de hoje não responde o que acontece na data de expiração. A evidência deve identificar a versão testada, o relógio de teste, o estado do certificado, os alarmes esperados, o comportamento observado e os desvios não resolvidos.

A quinta éindependência de domínio de falha. A discussão posterior da Ericsson sobreredes críticas robustasexplica que nós do plano de controle, como um MME, podem servir populações muito grandes e que o design de recuperação deve levar em conta a carga de sinalização e a redundância geográfica. Essa discussão de arquitetura de autoria do fornecedor não é prova de reparo após o evento de 2018. É útil para avaliar a pergunta certa: os nós redundantes meramente se sentam em lugares diferentes, ou evitam o mesmo software, credencial, temporização, orquestração e falha de gerenciamento? As operadoras devem documentar dependências comuns entre regiões, gerações e serviços atacadistas, depois testar a falha dessas camadas comuns.

A sexta érecuperabilidade sob carga. As equipes precisam de um artefato de reversão conhecido e funcional, configuração compatível, acesso protegido, autoridade para escolher a reversão e um plano para reconexão em fases. Os exercícios devem medir detecção, diagnóstico, decisão, implantação e tempo de restauração do serviço separadamente. Devem incluir a carga secundária criada quando milhões de dispositivos tentam novamente. Uma reinicialização bem-sucedida de um nó em laboratório não é prova de que uma população nacional pode retornar com segurança.

A sétima éresponsabilidade das comunicações. As operadoras devem manter um mapa de contato ciente de dependências cobrindo marcas de varejo, clientes atacadistas, canais empresariais, partes interessadas de serviços de emergência e reguladores. Os avisos devem distinguir efeitos de serviço confirmados de investigação, indicar alternativas práticas quando disponíveis e usar canais independentes do serviço móvel falho. Registros com carimbo de data/hora devem mostrar quando a organização soube de um fato material e quando o comunicou.

A oitava éreparação e aprendizado. Créditos ao cliente ou outras reparações devem ter elegibilidade transparente e não depender de os usuários conhecerem a causa técnica oculta. O aprendizado pós-incidente deve alimentar a aquisição de software, aprovação de versão, continuidade de negócios, garantia regulatória e relatórios de risco ao conselho. A lição deve ser testada posteriormente: amostrar sistemas instalados, inspecionar evidências, simular expiração e verificar o encerramento de exceções. Uma revisão de política sem amostragem operacional é documentação, não garantia.

A nona éencerramento publicamente defensável. Fornecedores de infraestrutura crítica não podem publicar todos os detalhes de configuração sensíveis, mas podem divulgar o suficiente para estabelecer escopo, categoria de causa, população de remediação, método de validação e risco restante. Uma declaração de encerramento útil diria quais famílias de produtos e faixas de versão foram afetadas, como todos os clientes foram identificados e notificados, que controle de ciclo de vida mudou, como o comportamento de expiração foi testado, quem revisou independentemente o resultado e se alguma exceção permanece. Identificadores sensíveis podem ser omitidos sem reduzir o relato a "software corrigido".

Aplicado a dezembro de 2018, este teste produz um resultado misto. A restauração é confirmada. A resposta e conformidade da O2 foram examinadas por um regulador independente, e o regulador considerou suas medidas apropriadas. A SoftBank divulgou ações imediatas e permanentes concretas, e o ministério do Japão exigiu relatórios de prevenção de recorrência. A Ericsson identificou a categoria inicial de causa e disse que estava descomissionando o software defeituoso.

No entanto, o encerramento público permanece incompleto porque a análise final do fornecedor, o escopo da base instalada, o histórico do proprietário do controle e a validação independente em toda a frota não estão disponíveis.

Essa lacuna não justifica uma acusação além das evidências. Justifica um pedido durável de prova. A próxima expiração deve ser descoberta anos antes, visível tanto para a parte que a incorpora quanto para a operadora cujos clientes dependem dela, testada em seu limite, isolada de falha de modo comum e recuperável através de um caminho ensaiado. Conselhos e reguladores devem poder inspecionar essas alegações sem esperar por outra interrupção sincronizada.

Responsabilidade depois que os relógios avançaram

A interrupção de dezembro de 2018 não foi importante porque os certificados são exóticos. Foi importante porque um limite de tempo comum dentro de software proprietário compartilhado cruzou fronteiras organizacionais e nacionais de uma só vez. A Ericsson controlava a condição embutida e o software afetado. A O2 e a SoftBank controlavam diferentes partes da implantação, resiliência, recuperação e resposta ao cliente. Os reguladores avaliaram as operadoras licenciadas e traduziram o incidente em expectativas mais fortes. Os usuários suportaram a perda imediata de conectividade apesar de não controlarem nenhuma dessas decisões a montante.

A leitura mais justa do registro evita dois erros fáceis. Um é absolver as operadoras porque o fornecedor forneceu o defeito. O outro é atribuir todas as consequências às operadoras apesar das evidências de que a condição desencadeadora estava oculta e, no caso da O2, não razoavelmente detectável sob os controles que a Ofcom examinou. A responsabilidade prática segue controle, conhecimento e dever legal em cada etapa. Pode ser compartilhada sem se tornar vaga.

Até 2026, a questão durável não é mais se essa expiração precisa era previsível para todas as operadoras em 2018. É se fornecedores e operadoras podem agora provar que dependências limitadas no tempo em software crítico de rede são inventariadas, possuídas, monitoradas, testadas, diversificadas e recuperáveis. O incidente forneceu o aviso. O teste de responsabilidade é se a evidência de mudança sobreviverá à memória da interrupção.