A Anatel alterou, no início de julho, o Regulamento de Segurança Cibernética Aplicado ao Setor de Telecomunicações, contido na sua Resolução 740/2020. Na prática, amplia o número de empresas sujeitas a algumas determinações. Uma das principais mudanças, conforme noticiário sobre o tema e texto disponibilizado pela agência em seu site, é que “todos os prestadores de Serviços de Telecomunicações de Interesse Coletivo, independentemente do porte, devem cumprir o art. 8º”.
Por si só, isso não traria grandes preocupações, particularmente às PPPs, até então, dispensadas do cumprimento das disposições da norma. Há pelo menos uma outra obrigação cabível a estas. Mas não fica claro se, para elas – e a quais delas – as novas regras a serem observadas terminam aí.
O citado artigo 8º determina que “a prestadora deve alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários”. Embora o texto não faça referência aos que são vendidos – prática corrente no mercado –, a regra obriga as empresas a alterar as senhas de roteadores e demais dispositivos quando disponibilizá-los aos consumidores.
Outra alteração que atinge a todas as empresas é que elas passam a ser obrigadas a notificar a Anatel sobre incidentes de segurança quando essa medida for compulsória perante a Autoridade Nacional de Proteção de Dados (ANPD).
Desta forma, ataques cibernéticos que resultarem em acesso ou sequestro de dados pessoais – aqueles que possibilitam a identificação de um indivíduo – deverão ser comunicados às duas autarquias. Em caso de descumprimento da regra, estas poderão aplicar suas próprias sanções aos infratores.
Conforme o artigo 48 da LGPD (Lei 13.709/2018), a ANPD e proprietários de dados pessoais devem ser comunicados quando da ocorrência de incidentes que possam acarretar risco ou dano relevante aos titulares. Nesses casos, deve-se relatar, no mínimo, a titularidade das informações, a natureza do ataque, os riscos a ele relacionados e medidas que foram ou serão adotadas para reverter ou mitigar prejuízos – o que também pode ser determinado pela autarquia, assim como a “ampla divulgação do fato em meios de comunicação”. As penalidades previstas no artigo 52 da lei vão de advertências a multas de até 2% do último faturamento anual líquido.
Com a alteração do regulamento, caso ocorrências dessa natureza não sejam comunicadas à Anatel, as empresas ficam sujeitas às suas sanções, que vão de advertências, no caso de infrações leves, a multas e suspensão temporária.
Estas últimas, conforme a Resolução 589, recaem sobre as classificadas como graves que, dentre outros, referem-se às que afetaram “número significativo de usuários” (artigo 9º), algo observado na maioria dos cyber ataques. As paralisações das atividades, limitadas a 30 dias, podem somar-se às penas pecuniárias que, para pequenos provedores (com receita anual de R$ 1,2 milhão a R$ 10,499 milhões) chegam a R$ 1,6 milhão e, para micros (receitas de até R$ 1,999 milhão), a R$ 110 mil.
Ocorre que a alteração do Regulamento de Segurança Cibernética pode fazer com que outras de suas regras recaiam sobre determinados ISPs – sendo difícil saber quais estes seriam. Esse entendimento foi manifestado pela TelComp em janeiro de 2022, durante consulta pública realizada pela Anatel sobre atualização da norma. Manifestando preocupação com possíveis impactos que esta poderia trazer a PPPs, a entidade solicitava maior clareza quanto à definição dos agentes sobre os quais recairiam as obrigações.
Nesse sentido, citava textualmente parecer da área técnica da agência, segundo o qual poderia haver “interpretações diversas do que seria ‘rede própria’ ou ‘rede de suporte para transporte de tráfego interestadual em mercado de atacado’”. “É possível que haja insegurança quanto à identificação das imputadas”, concluía.
Encerrada a consulta pública, a agência deu nova redação à norma, que, de acordo com seu site, passa a prever, no recém-criado artigo 2º-B, que “operadoras de cabo submarino com destino internacional, prestadoras do Serviço Móvel Pessoal com rede própria e operadoras de rede que oferecem tráfego em mercado de atacado ficam sujeitas a ‘controle ex ante’”. Ou seja, a observação da TelComp – assim como a da área técnica da própria Anatel – sobre a subjetividade de termos como “rede própria” e “tráfego em mercado de atacado” foi ignorada.
O termo “ex ante” designa ação que deve anteceder o fato – neste caso, os ataques cibernéticos. Ocorre que não fica claro se o fato de estar sujeito a esse controle preliminar implica na adoção de medidas extras de segurança e, se sim, se esta se aplica, dentre outros, aos ISPs que, por exemplo, comercializam links dedicados.
Independentemente de haver ou não dúvidas sobre quais regras se aplicam a quais empresas – algo que a Anatel pode corrigir a qualquer momento, como prevê o parágrafo 1º do artigo 2º da Resolução 740 –, cobranças com relação à segurança das redes deverão se tornar mais rigorosas e frequentes para os ISPs, tanto por estes responderem por 54% dos acessos fixos do país quanto pelo número e gravidade de incidentes que têm sofrido.
Em outubro do ano passado, conforme a associação de ISPs Internet Sul, houve um ataque maciço de DDoS a centenas de provedores gaúchos que, na ocasião, tiveram problemas que iam desde a instabilidade de sinal à interrupção do fornecimento de acesso a clientes por períodos que superaram duas horas.
A Abrint manifestou que recebe constantemente relatos de ocorrências semelhantes em que, muitas vezes, configura-se a prática de extorsão. Isso ocorre quando hackers cobram como “resgate” valores em cripto moedas. Por conta do número de incidentes dessa natureza, a entidade firmou parceria para fornecer sistemas de segurança cibernética subsidiados a seus associados.
Apesar de disporem de soluções de última geração, grandes corporações também são alvo desse tipo de ataque. Para provedores de pequeno porte, mesmo que a contratação de sistemas voltados ao aumento da segurança das redes implique em custos e não garanta que todas ocorrências serão neutralizadas, ela se faz necessária.
Independentemente de quais forem as determinações da Anatel a que estão sujeitos nesses casos, esses ISPs são obrigados, como qualquer empresa que trata dados pessoais de terceiros no país, a seguir as regras da ANPD. Portanto, além da adoção de ferramentas voltadas à mitigação de riscos, devem seguir os procedimentos determinados pela autarquia quando sofrerem ataques cibernéticos.
* Bárbara Castro Alves é gerente de assuntos regulatórios da VianaTel, consultoria especializada na regularização de ISPs