Anatel consulta critérios para habilitar entidades de cibersegurança parceiras

Instituições a serem credenciadas terão papel de auxiliar a agência na detecção de novas técnicas de ataque. Contribuições podem ser enviadas até 29 de abril.
Foto: Freepik
Anatel credenciará entidades especializadas em cibersegurança | Foto: Freepik

A Agência Nacional de Telecomunicações (Anatel) abriu nesta segunda-feira, 19, a Consulta Pública nº8/2023, sobre o procedimento operacional a ser adotado pela autarquia para a habilitação de entidades especializadas em avaliação de segurança cibernética em produtos para telecomunicações. O prazo para contribuições é até 29 de abril, por meio da plataforma Participa Anatel

A parceria com entidades tem como ponto de partida a previsão regulamentar de que a Anatel pode atuar tanto na certificação da segurança cibernética de produtos para telecomunicações (pré-venda) como na avaliação destes em atividades de supervisão de mercado (pós-venda).  

“Torna-se essencial que a Anatel defina critérios objetivos para seleção de entidades especializadas neste tipo de avaliação que atendam critérios de capacitação técnica e administrativa para que componham o processo de avaliação da conformidade de produtos, tanto nos estágios de pré-venda (certificação) quanto nos de pós-venda (fiscalizações de supervisão de mercado)”, explica a Agência em relatório.

Desta forma, as entidades em questão terão o papel de auxiliar na detecção de novas técnicas de ataque cibernético, em colaboração ao “desenvolvimento de medidas mitigatórias (proativas) e reativas por parte da indústria e dos órgãos reguladores”. 

A Anatel ressalta que o objetivo é “estabelecer critérios para habilitar entidades para um fim específico”, o que é diferente do processo de certificação de produtos. “Tais entidades não se confundem com as entidades habilitadas como laboratórios de ensaios para certificação de produtos, que possuem critérios para sua habilitação baseados em procedimentos operacionais específicos”, destaca a Agência.

O que está em consulta?

A minuta que está em consulta trata de questões como: que tipo de entidade pode solicitar a habilitação, em quais hipóteses elas podem ser desconsideradas e como proceder com o pedido de credenciamento junto à Anatel, incluindo a documentação mínima exigida e detalhes do Termo de Compromisso a ser firmado. 

A norma também detalha de que forma será feita a comprovação de capacidade técnica e administrativa, tópico que está subdivido em quatro pontos, segundo a Anatel:

 

  • Capacidade de entrega: “estabelece que a entidade requerente deve apresentar atestados emitidos por pessoas jurídicas de direito público ou privado que comprovem a capacidade de entrega com relação a testes de segurança cibernética em sistemas de tecnologia da informação ou em equipamentos eletrônicos. Além disso, estabelece critérios de tempo mínimo de experiência no setor, quantitativo mínimo para composição de equipe técnica e certificações de qualidade ISO”.

 

  • Habilitação técnica da equipe: “define critérios de experiência para os membros da equipe técnica e quais tipos de certificações técnicas a equipe deve possuir”.

 

  • Instalações: “estabelece regras para que a entidade comprove possuir laboratórios com equipamentos adequados, espaço físico adequado e seguro e políticas implementadas para segurança da informação”.

 

  • Governança: “estabelece que a entidade deve demonstrar que possuir implementadas políticas e processos que garantam a proteção de dados pessoais, segredos comerciais e industriais, bem como de quaisquer dados que não sejam públicos, eventualmente tratados durante a execução de suas atividades”.

 

Prevenção

As ações da Anatel voltadas para a cibersegurança no setor de telecom se intensificaram em 2017, quando a Agência iniciou a construção do primeiro documento normativo sobre o tema, o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, publicado em 2020. No ano seguinte, a autarquia publicou os Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, que reúne recomendações a fabricantes e fornecedores. 

Contudo, a conclusão que se teve após a vigência foi a de que “recomendações de segurança não mandatórias eram insuficientes”, especialmente, “para tratar vulnerabilidades já conhecidas e historicamente presentes em alguns tipos de produtos para telecomunicações, tal como as senhas padrão de fábrica em equipamentos CPE”, que se repetem entre os aparelhos, conforme descrito no relatório que dá origem à consulta pública. 

Como forma de enfrentar a vulnerabilidade, a Gerência de Certificação e de Numeração (ORCN) reforçou as regras em 2023 por meio do Ato nº 2436/ 2023, que traz requisitos mínimos mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE, com base em discussões do Subgrupo Técnico de Equipamento, Fornecedores e Requisitos do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).

No entanto, a agência ressalta que “os agentes mal intencionados estão continuamente desenvolvendo técnicas de ataque que extrapolam as recomendações estabelecidas na regulamentação”. E é aqui que as entidades especializadas entram, como reforço do acompanhamento.

Avatar photo

Da Redação

A Momento Editorial nasceu em 2005. É fruto de mais de 20 anos de experiência jornalística nas áreas de Tecnologia da Informação e Comunicação (TIC) e telecomunicações. Foi criada com a missão de produzir e disseminar informação sobre o papel das TICs na sociedade.

Artigos: 11030