Anatel aperta o cerco e inclui fabricantes e PPPs nas regras de cibersegurança
A Anatel vai colocar em consulta pública, por 45 dias, uma instrução normativa que traz mudanças às regras sobre cibersegurança adotadas pela agência há exatos 12 meses. Os principais ajustes envolvem incluir parte das prestadoras de pequeno porte, bem como os fabricantes de equipamentos, nas obrigações previstas no ‘Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações’.
Em que pese divergências sobre o tema no GT-Ciber da Anatel, com as grandes querendo incluir as PPPs, e as próprias resistindo, prevaleceu o entendimento de que as regras de segurança cibernética devem ser estendidas a qualquer operadora que detenha infraestruturas críticas.
Como resultado, são inseridas no cumprimento das mencionadas regras as Prestadoras de Pequeno Porte (PPP) detentoras de cabo submarino com destino internacional; executantes do Serviço Móvel Pessoal detentoras de rede própria; e detentoras de infraestrutura de transporte interestadual – com a ressalva de que até aqui não foi possível identificar nenhuma empresa nesse último critério.
Isso significa que as empresas enquadradas nessas condições também deverão elaborar, implementar e manter uma Política de Segurança Cibernética (PSC); notificar à agência e comunicar às prestadoras e usuários incidentes relevantes; realizar ciclos para avaliação de vulnerabilidades; e enviar à Anatel informações sobre suas infraestruturas críticas.
A proposta também estende para as PPPs a obrigação de reconfiguração dos equipamentos de rede. Significa determinar a atualização das configurações inclusive nos equipamentos da rede legada e em estoque. Essencialmente, trata-se da imposição de que os equipamentos não utilizem as senhas originais de fábrica.
Entre as previsões nesse caso, a norma determina que as empresas não utilizem credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos; não permitam senhas ou branco ou fracas; forcem, na primeira utilização, a alteração da senha inicial de acesso à configuração do equipamento.
Outro ponto de ajuste relevante nas regras de segurança cibernética é incluir os fabricantes de equipamentos, de forma que as “entidades fabricantes de produtos para telecomunicações” também precisam elaborar Política de Segurança Cibernética, já exigida quando da aquisição das prestadoras, bem como o alinhamento a princípios e diretrizes do R-Ciber.