Por Hugo Tinini, Coordenador Geral de Operações, da TÜV Rheinland – Desde 26 de novembro, o setor de telecomunicações brasileiro ingressou em uma nova fase, com a entrada em vigor da obrigatoriedade de auditoria independente da Política de Segurança Cibernética (PSC) para todos os fornecedores de produtos e equipamentos de telecomunicações que atendem operadoras no país. Estabelecida pela Agência Nacional de Telecomunicações (Anatel) por meio do Ato nº 16.417, publicado em 26 de novembro de 2024, a medida institui um novo patamar de responsabilidade e rastreabilidade para os dispositivos que integram as redes de telecom no Brasil.
Na prática, prestadoras de serviços de telecomunicações só podem, agora, utilizar equipamentos que possuam certificado de conformidade cibernética, emitido por uma entidade auditora reconhecida. Isso significa que a segurança digital desses equipamentos não poderá mais se basear apenas em declarações ou boas intenções dos fabricantes. Será necessário comprovar, com evidências técnicas e documentais, que os processos de desenvolvimento, atualização e suporte seguem as melhores práticas de cibersegurança.
Essa iniciativa da Anatel, inclusive, coloca o Brasil em destaque na América Latina quanto à regulação de cibersegurança em telecom. Poucos países até o momento exigem de forma tão direta a comprovação de práticas de segurança por parte de fornecedores de infraestrutura crítica. Essa vanguarda regulatória tende a trazer múltiplos benefícios estratégicos.
Princípios de segurança exigidos
As auditorias para obtenção dos certificados devem ser conduzidas por organizações independentes que atendam a critérios de competência reconhecidos. A norma estabelece duas principais categorias de entidades aptas: os Organismos de Certificação Designados (OCDs) credenciados pela própria Anatel, e as instituições independentes acreditadas segundo padrões internacionais, por meio de organismos membros do International Accreditation Forum (IAF).
Na prática, isso inclui tanto organismos nacionais designados – institutos já envolvidos na certificação técnica de produtos de telecomunicações – quanto empresas certificadoras globais com acreditação válida para avaliações de segurança. Caberá ao fabricante do equipamento escolher e contratar uma dessas entidades auditoras habilitadas.
O cerne da auditoria de PSC está em verificar se o fornecedor adota um conjunto de princípios e práticas de segurança considerados fundamentais. Entre esses princípios, destacam-se três amplamente reconhecidos no setor: security by design, security by default e privacy by design.
A adoção do security by design implica que a segurança seja incorporada desde a concepção dos equipamentos – o fabricante deve demonstrar que, durante o projeto e desenvolvimento do hardware e software, utilizou práticas de codificação segura e mecanismos para reduzir vulnerabilidades. Evidências típicas incluem o uso de ferramentas automatizadas de análise de código, e metodologias formais para tratar erros e brechas identificadas ao longo do desenvolvimento.
Já o princípio de security by default requer que os dispositivos sejam seguros em sua configuração padrão de fábrica. Isso significa proteger credenciais com criptografia ou hashing adequados e desabilitar interfaces ou serviços desnecessários por padrão, minimizando a superfície de ataque disponível. A configuração inicial deve ser a mais restritiva possível em vez de permissiva, privilegiando opções nativamente seguras e alinhadas às melhores práticas de proteção e privacidade.
Por sua vez, o privacy by design assegura que a proteção de dados pessoais e sensíveis seja um componente intrínseco do produto. Os fabricantes precisam demonstrar, por exemplo, que implementam criptografia adequada para dados sensíveis em trânsito e em repouso, e que cumprem princípios da LGPD desde a arquitetura do sistema.
Além disso, as diretrizes de auditoria exigem que o fabricante possua processos estabelecidos para suporte e atualizações de segurança ao longo do ciclo de vida do produto. Isso se traduz em uma política clara de suporte, com compromisso de fornecimento de patches e atualizações regulares de firmware/softwares para corrigir vulnerabilidades que sejam identificadas futuramente.
Do ponto de vista do ambiente de negócios, a exigência de conformidade tende a elevar a competitividade saudável: fabricantes que investirem em segurança e seguirem padrões internacionais ganham reconhecimento e acesso ao mercado, enquanto aqueles que negligenciavam essas práticas precisarão correr atrás ou arriscam perder espaço.
É um claro incentivo para a inovação em segurança, estimulando o desenvolvimento de produtos mais seguros e de processos de engenharia mais maduros. A curto prazo, é possível que alguns fabricantes enfrentem desafios para se adequar – especialmente no que tange à documentação de processos e correção de eventuais lacunas identificadas pelas auditorias. Contudo, a médio e longo prazo, espera-se uma homogeneização por cima: todos atingindo patamares mínimos de segurança que hoje variavam bastante entre os diversos fornecedores.
Ao alinhar o Brasil às melhores práticas globais de cibersegurança, a Anatel não apenas protege as infraestruturas críticas e os usuários, mas também sinaliza ao mundo que o mercado brasileiro valoriza e exige excelência em segurança. Para as operadoras e provedores de internet, isso significa operar com mais tranquilidade, sabendo que os equipamentos em sua rede passaram por um crivo especializado. A obrigatoriedade da auditoria de PSC não é apenas um cumprimento regulatório, e sim é um passo estratégico que reforça a confiabilidade e a robustez do setor de telecomunicações brasileiro, preparando-o para os desafios de segurança da próxima década.
No Comment