Brasil | Anatel aprova consulta pública sobre Instrução Normativa do GT Ciber

Documento amplia obrigações de Segurança Cibernética para empresas detentoras de Infraestruturas Críticas de Telecomunicações.

86

Anatel

Conselho Diretor da Agência Nacional de Telecomunicações (Anatel) aprovou nesta quinta-feira (16/12), por unanimidade, consulta pública de Instrução Normativa que complementa o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado pela Resolução nº 740/2020. O texto receberá contribuições, por meio do Sistema Interativo de Acompanhamento de Consulta Pública (SACP), durante 45 dias.

De acordo com a proposta da Agência, todas as prestadoras de serviços de telecomunicações, independentemente do porte, devem alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários. Mesmo as Prestadoras de Pequeno Porte (PPPs) – que possuem participação de mercado nacional inferior a 5% em cada mercado de varejo – ficam sujeitas ao cumprimento dessa obrigação.

Com isso, busca-se atualizar as configurações dos equipamentos da rede legada e em estoque e, assim, eliminar vulnerabilidades detectadas nestes equipamentos. “A manutenção de configurações de segurança padrão, advindas do fabricante, torna-se um elo fraco na cadeia de segurança quando do provimento dos serviços de telecomunicações. O custo operacional de alteração de tais configurações mais do que se justifica, comparado ao risco que esses equipamentos representam quando em funcionamento na rede de uma prestadora. Trata-se de boa prática muito eficaz contra ataques de baixa complexidade técnica”, votou o conselheiro Carlos Baigorri, relator da matéria.

A proposta que será submetida à consulta pública estabelece que a maioria das PPPs, por não ser detentora de Infraestruturas Críticas de Telecomunicações, estará desobrigada de prestar informações à Anatel. Prestadoras detentoras de cabo submarino com destino internacional, prestadoras do Serviço Móvel Pessoal que detenham rede própria e detentores de rede de suporte de transporte de tráfego interestadual, em mercado de atacado, por outro lado, deverão elaborar, implementar e manter uma Política de Segurança Cibernética; notificar a Agência e comunicar às prestadoras e aos usuários incidentes relevantes; realizar ciclos para avaliação de vulnerabilidades; e enviar à Anatel informações sobre suas infraestruturas críticas.

“Entendo que o texto trazido pelo GT Ciber, positivamente, resguarda as PPP que não sejam enquadradas em nenhuma das hipóteses de infraestruturas críticas, garantindo o propósito fundamental do caput do art. 2º do RCiber, que excluiu, a priori, a obrigatoriedade de atendimento das disposições por tais prestadoras. Também é crucial ressaltar que as prestadoras não PPP são obrigadas pelo art. 11 do RCiber a informar sobre suas Infraestruturas Críticas de Telecomunicações”, votou o relator.

O R-Ciber foi aprovado, em dezembro do ano passado, por meio da Resolução nº 740/ 2020. O novo normativo representou um marco na atuação da Anatel quanto ao novo cenário tecnológico e regulatório, tendo estabelecido regras de alto nível para o atingimento de um ambiente mais seguro e estável quando do provimento das telecomunicações no País. Em 1º de março de 2021, foi inaugurado o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).