O Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber) da Anatel concluiu na última semana uma fase de seus trabalhos. Nesta etapa, deveria elaborar proposta para dizer se as obrigações existentes no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações valem também para operadoras de pequeno porte, os ISPs.
Formado por técnicos da agência, representantes das operadoras e da Telcomp, o GT propôs que todo ISPs com infraestrutura crítica deverá atender as obrigações do R-Ciber. Para tanto, sugere a criação de três níveis de infraestrutura crítica.
Conforme o nível, o operador de pequeno porte terá menos obrigações de segurança cibernética. A única obrigação que valerá para todos, independente do porte, é a mudança da senha que vem de fábrica nos equipamentos fornecidos aos usuários e a comunicação dos ativos de rede geridos à Anatel.
AS CLASSES
Ficou decidido no GT que os três níveis de infraestrutura crítica para classificação dos ISPs serão:
Classe I – a empresa dona dessas infraestruturas críticas deve atender todas as exigências de segurança do regulamento, da mesma forma como as grandes operadoras nacionais. São de Classe I ISPs com cabo submarino com destino internacional, com rede móvel própria, ou redes de transporte interestadual explorada no atacado;
Classe II – são empresas que devem cumprir as exigências de implementar e manter somente uma Política de Segurança Cibernética, alterar a configuração padrão de autenticação dos equipamentos fornecidos aos seus usuários e enviar informações sobre as redes que detém para a Anatel;
Classe III – são as empresas que precisam apenas alterar a senha original de fábrica dos equipamentos entregues aos clientes e informar a Anatel sobre seus ativos.
OBJEÇÕES
A discussão toda se deu, no entanto, sem que fossem definidas quais empresas entrariam em qual categoria. Para representantes do setor privado não está nítido quem seria enquadrado na classe II, aquela que exige uma política de cibersegurança, mas dispensa outras obrigações mais severas.
Segundo o Superintendente de Controle e Obrigações, Gustavo Borges, essas categorias foram estabelecidas apenas como referência teórica, ainda sem critérios definidos. Mais detalhes sobre elas serão trabalhadas no futuro.
É de se supor que os maiores ISPs do país, com alcance interestadual, sejam totalmente sujeitos ao R-Ciber, enquanto os pequenos fiquem apenas com a obrigação de atualizar a senha dos modens e roteadores enviados aos assinantes.
Conforme explica Borges no memorando conclusivo dos trabalhos dessa fase do GT-Ciber, a modulação das obrigações “tem o objetivo de alcançar de maneira abrangente toda a planta de telecomunicações instalada no território nacional, mas mantendo o respeito a questão do porte das prestadoras na medida em que aquelas que possuem menor quantidade de assinantes necessitarão despender menores esforços para atender a obrigação”.
O trabalho do GT-Ciber não se deu só de consensos, no entanto. Vivo, Claro e Oi reclamaram de partes da proposta. A Vivo reclamou “ao imputar tais obrigações no formato da proposta trazida pela Anatel, excluindo alguns agentes importantes, não traria a proteção desejada às suas redes do ponto de vista digital uma vez que critério de infraestrutura não teria qualquer correlação a incidentes cibernéticos”.
A Claro e a Oi defenderam que todos os ISPs, independente do porte, devem atender o artigo 10 do R-Ciber, ou seja, realizar ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética. Sem consenso quanto a isso, o coordenador do GT usou seu voto de minerva. Às operadoras cabe recursos administrativo, se desejarem.
No Comment