Telecom

Anatel estabelece regras de segurança cibernética para redes de telecom

A Anatel aprovou nesta quinta, 17/12, um novíssimo ‘Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações’, em movimento que sinaliza competência do regulador para preservar a integridade das redes, ainda que faça menção a eventuais medidas adicionais “na esfera governamental”. 

Com ele, além de uma série de procedimentos a serem observados pelas operadoras – mas que poderão ser estendidos aos próprios fornecedores de equipamentos – a agência cria um ‘Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica’, ou simplesmente GT-Ciber, com status de superintendência, para operacionalizar as novas regras e servir de interface com as empresa. 

“A Anatel utilizará uma abordagem prévia, geral e universal que, com cautela, procurará afastar das redes e infraestruturas de suporte os elementos que, por não estarem de acordo com as normas e protocolos, representem potenciais riscos à segurança e integridade delas”, apontou o presidente da agência, Leonardo de Morais, ao apresentar o voto-vista que complementou a proposta inicial de Moisés Moreira. 

Em grandes linhas, o regulamento de segurança cibernética determina que as empresas devem: 

1) elaborar, implementar e manter política de Segurança Cibernética; 


2) utilizar, em suas redes, produtos e equipamentos provenientes de fornecedores que adotem políticas de segurança cibernética compatíveis com os princípios e diretrizes dispostos no Regulamento e que realizem processos de auditoria independente periódicos; 

3) alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários, tais como modems e pontos de acesso; 

4) informar sobre os incidentes relevantes à Anatel e aos usuários e compartilhar informações com outras operadoras; 

5) realizar ciclos de avaliação de vulnerabilidades; 

6) enviar à Anatel informações sobre suas Infraestruturas Críticas de Telecomunicações. 

Formalmente, trata-se de uma proposta que busca estimular não apenas equipamentos seguros, mas a adoção de padrões, processos e mesmo arquiteturas de redes que tenham a segurança cibernética como pilar de seu próprio desenvolvimento e implantação. Tecnicamente o instrumento basilar de atuação do regulador se dá na certificação e homologação de equipamentos. Mas um olhar sobre as novas redes definidas por software, como o 5G, também incorporou a necessidade de reavaliações periódicas. 

Há, porém, dois aspectos que não transparecem necessariamente na minuta de Regulamento mas são evidenciados no voto condutor da decisão. De um lado, o cuidado em separar a competência técnica da agência para enfrentar os riscos cibernéticos nas redes de telecom de eventuais decisões “na esfera governamental” por motivos diversos. 

“Independentemente de serem ou não estabelecidas restrições em matéria de cibersegurança por outras esferas governamentais – qualquer que seja sua origem, natureza e fundamento –, a atuação do Regulador de Telecomunicações e os seus instrumentos regulatórios são expressão de suas competências técnicas”, diz o voto. 

Mas também há um recado importante na análise que subsidia o regulamento. Ela mostra a gradativa concentração no mercado fornecedor de infraestrutura. Se no 2G havia 14 fornecedores, o número caiu para 11 no 3G, para 8 no 4G e contempla no máximo 7 no 5G: Ericsson, Fujitsu, Huawei, NEC, Nokia, Samsung e ZTE. Desses sete, apenas três detém mais de 75% das redes brasileiras. 

“Não se trata de apontar qual seria uma ‘quantidade ótima’ de competidores nesse mercado, mas é certo que a condição oligopolista impõe pressão adicional sobre sua estabilidade, com efeitos sobre a capacidade e a velocidade de disponibilização de novas tecnologias e, por fim, sobre o preço final do serviço ao consumidor”, diz o voto. É praticamente um desenho. 

O GT-Ciber, a ser comandado por um superintendente a ser indicado, terá participação das prestadoras com poder de mercado significativo. Mas entre suas primeiras missões está a avaliação, em 150 dias após ser criado, se a abrangência das regras de cibersegurança devem ser ampliadas para “as prestadoras ainda não abrangidas pelo Regulamento, independentemente do porte, operadoras de capacidade satelital e demais empresas do ecossistema de telecomunicações envolvidos direta ou indiretamente na gestão ou no desenvolvimento das redes e serviços de telecomunicações”. 

Botão Voltar ao topo