Anatel começa a verificar se tem backdoor em produtos de telecom no Brasil no segundo semestre
A partir de agosto deste ano a Anatel já começa a recolher para amostragem e testes nos laboratórios equipamentos usados nas redes de telecomunicações para verificar se algum desses produtos está descumprindo o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (Resolução 740/2020), que foi publicado em dezembro do ano passado. Conforme o regulamento, e o ato número 77 da Anatel, também publicado em dezembro, está proibido que qualquer equipamento usado ou a ser instalado nas redes de telecomunicações brasileiras possa ter backdoor (literalmente, porta dos fundos) que possa causar vulnerabilidades aos dispositivos. O backdoor é um método de “escapar” das autenticações ou criptografias dos sistemas.
Esse regulamento, publicado pela superintendência de Frequências, Outorgas e Certificação, estabeleceu vários quesitos para que os fabricantes façam as homologações de seus equipamentos e como os laboratórios credenciados farão os testes de validação desses produtos. Essa mesma norma criou o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), coordenado pelo superintendente de Controle de Obrigações da agência, Gustavo Borges.
Segundo Borges, o novo regulamento alterou os métodos de controles da Agência para evitar riscos na infraestrutura crítica de telecomunicações, passando a focar mais nos processos cibernéticos e lógicos do que na rede física. As normas estipularam prazo de seis meses para que as regras comecem a valer, o que acontecerá a partir da última quinzena de julho.
Os produtores e operadores com Poder de Mercado Significativo (PMs), ou seja, as grandes teles, devem cadastrar todos os seus produtos que têm que ser certificados e notificar a Anatel qualquer acontecimento de risco. A a partir do segundo semestre a Anatel começa a fazer recolhimento amostral desses equipamentos, para certificar se estão sem o backdoor. Se houver discrepâncias, os fabricantes e operadores serão notificados e o problemas deverão ser corrigidos. Em última situação, equipamentos poderão ser retirados das redes, explicou Borges.
GT-Ciber
Cinco entidades setoriais pediram para integrar o CT-Ciber, conforme Borges, comitê que foi constituído inicialmente com representantes da Anatel e das grandes teles. A Anatel deverá decidir em breve se dará acesso a todas as entidades. Foram elas: Abinee, Abramulti, Conexis, Feninfra, Open Citi e Telcomp.
Leia aqui as duas normas da Anatel sobre Ciber Segurança: