A Anatel abriu, nesta quinta-feira, 6, a consulta pública nº 65, da proposta de requisitos mínimos de segurança cibernética para avaliação da conformidade de equipamentos CPEs (Customer Premises Equipment). O entendimento da agência é de que muitos do equipamentos CPE distribuídos no mercado nacional possuem a vulnerabilidade de configuração padrão de autenticação.
Tal vulnerabilidade, diz a agência, que consiste na configuração em fábrica de senhas de autenticação iguais entre todas as unidades de equipamentos produzidas, permite que agentes mal-intencionados facilmente acessem via internet o ambiente de configuração dos equipamentos e tomem controle daqueles CPEs que não tiveram suas senhas padrão alteradas.
As invasões podem resultar no comprometimento das informações (pessoais, bancárias, entre outras) dos usuários dos serviços de telecomunicações, além de permitir que tais CPEs sejam utilizados como vetores em ataques de negação de serviço ou em outros tipos de ataques cibernéticos.
Para evitar esses transtornos, a Anatel propõe basicamente que o equipamento deve apresentar conformidade aos seguintes itens dos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações (Referência 2.3):
- a) Não utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos.
- b) Não utilizar senhas iniciais que sejam derivadas de informações de fácil obtenção por métodos de escaneamento de tráfego de dados em rede, tal como endereços MAC – Media Access Control.
- c) Não permitir o uso de senhas em branco ou senhas fracas.
As contribuições à propostas podem ser feitas até o dia 4 de dezembro deste ano, no site participa.
No Comment