O conselho diretor da Anatel quer reconfigurar os equipamentos de telecom ao aprovar a consulta pública por 45 dias da Instrução Normativa que complementa o Regulamento de Segurança Cibernética (R-Ciber), aprovado pela Resolução nº 740/2020. Entre as medidas propostas, todas as prestadoras de serviços de telecomunicações, independentemente do porte, devem alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários. Mesmo as Prestadoras de Pequeno Porte (PPPs) – que possuem participação de mercado nacional inferior a 5% em cada mercado de varejo – ficam sujeitas ao cumprimento dessa obrigação.
Ou seja, as caixinhas de TV paga, os modens de acesso à banda larga e as antenas de WiFi instaladas aos milhares nas residências dos clientes de serviços de telecomunicações, que foram cedidos pelas operadoras, não poderão ser entregues com configuração padrão que vem no produto, mas terão que ter mais códigos de segurança e por isso as operadoras terão que os reconfigurar. Isso significa que aqueles que já estão instalados também terão que ser revisitados, se as regras forem aprovadas tal como sugeridas na consulta.
“A manutenção de configurações de segurança padrão, advindas do fabricante, torna-se um elo fraco na cadeia de segurança quando do provimento dos serviços de telecomunicações. O custo operacional de alteração de tais configurações mais do que se justifica, comparado ao risco que esses equipamentos representam quando em funcionamento na rede de uma prestadora. Trata-se de boa prática muito eficaz contra ataques de baixa complexidade técnica”, disse o conselheiro Carlos Baigorri, relator da matéria, que foi acompanhada por unanimidade dos demais dirigentes da agência.
Missão Crítica
Mas os operadores de pequenos porte, os ISPS com menos de 5% de participação no mercado de telecom, ficam dispensados de informar a Anatel sobre a sua infraestrutura, por não estarem enquadrados como fornecedores de infraestrutura crítica. Mas os de cabo submarino com destino internacional, prestadoras do Serviço Móvel Pessoal que detenham rede própria e detentores de rede de suporte de transporte de tráfego interestadual, em mercado de atacado, por outro lado, deverão elaborar, implementar e manter uma Política de Segurança Cibernética; notificar a Agência e comunicar às prestadoras e aos usuários incidentes relevantes; realizar ciclos para avaliação de vulnerabilidades; e enviar à Anatel informações sobre suas infraestruturas críticas. ( com assessoria de imprensa).
No Comment