Cibersegurança gera grandes embates na Anatel

Embora a última consulta sobre cibersegurança só tenha exigido dos ISPs a troca dos aparelhos das casas dos clientes em comodato, as grandes teles argumentam que há muitos riscos envolvidos nos sistema se essas redes forem dispensadas de cumprir todo o regulamento de cibersegurança (R-Ciber).
Grandes teles querem mais obrigações de segurança para as redes menores. Crédito:Freepick

A adoção de medidas de cibersegurança nas redes de telecomunicações está gerando grandes embates nos grupos técnicos da Anatel, que não estão conseguindo concluir as discussões por consenso, como era o esperado, e deverão ainda obrigar a novas decisões solitárias por parte do agente regulador. Embora a última consulta pública sobre o tema tenha se encerrado no mês passado, e que definiu que caberá aos provedores regionais de internet apenas a troca dos aparelhos de seus clientes, o fato é que as grandes operadoras de telecomunicações alegam haver muitos riscos com essa decisão, e mantêm o debate e a proposta para que a posição da agência seja revisitada.

Antes mesmo do término da consulta pública, Claro, Vivo, Oi e TIM já ingressavam com recursos no Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber),  com inúmeros argumentos para que as redes de telecomunicações dos ISPs também se adapatem às exigências de segurança máxima estabelecidas para elas pela agência.

O presidente do GT-Ciber, que é o superintendente de Controle de Obrigações, definiu três Infraestruturas Críticas de Telecomunicações (ICT), para as quais serão exigidos o máximo de regras de segurança: cabo submarino com destino internacional; prestadores do SMP que detenham rede própria;  detentores de rede de suporte para transporte de tráfego interestadual em mercado de atacado. ( backhaul e backbone).

Para as grandes teles, porém, isentar as redes dos ISPs de também terem cuidados maiores seria um grande risco, uma vez que um ataque eventual poderia “comprometer todos os atores”. A Claro, por exemplo, reivindicou que os operadores de pequeno porte fossem obrigados, pelo menos, a cumprir dois dos artigos do regulamento de cybersegurança: o 9º, que determina às teles a notificarem os incidentes e o 10º, que estabelece ciclos de avaliação de vulnerabilidades das redes.

A Vivo, por sua vez, aponta que o regulamento deveria ser exclusivamente técnico, sem considerar o porte ou a abrangência das operadoras. Isso porque, alegou, a segurança cibernética engloba também a infraestrutura de rede lógica, e não apenas a física. E, para a Vivo, as obrigações do regulamento de segurança deveria abranger todas as empresas que tiverem AS (Autonomous System); DNS (Domain Name System); ou possuir registro próprio de IP (Internet Protocol).

Para a Oi, do mesmo modo, todos os agentes deveriam ser abrangidos pelas regras do R-Ciber, em virtude da integração das redes em funcionamento. A Oi chega a reivindicar que os fornecedores dos equipamentos também tenham seus equipamentos submetidos a análises de vulnerabilidades constantemente. A TIM, por sua vez, argumenta que, se a LGPD (Lei Geral de Proteção de Dados) não discrimina o porte das empresas, o mesmo deveria ser feito pelo regulador de telecom.

ISPs

Telcomp e entidades dos ISPs, por sua vez, dizem que não deveria haver incidência indiscriminada do R-Ciber sobre as PPP (prestadoras de pequeno porte), tendo em vista que suas redes são mais limitadas geograficamente, fragmentadas, e possuem menor criticidade. Por isso,  apoiaram a proposta do coordenador da comissão.

O Conselho Diretor, em recente decisão manteve o entendimento da superintendência, de não acatar o pleito das grandes telcos, argumentando que  R-Ciber “exige que todos os agentes envolvidos na prestação dos serviços de telecomunicações atuem em atenção às boas práticas concernentes à Segurança Cibernética, adotando normas e padrões internacionais e identificando, protegendo, diagnosticando e recuperando os incidentes sob sua responsabilidade”. Mas o embate não terminou.

A seguir o resumo das obrigações dos pequenos e grandes operadores:

Avatar photo

Miriam Aquino

Jornalista há mais de 30 anos, é diretora da Momento Editorial e responsável pela sucursal de Brasília. Especializou-se nas áreas de telecomunicações e de Tecnologia da Informação, e tem ampla experiência no acompanhamento de políticas públicas e dos assuntos regulatórios.
[email protected]

Artigos: 2279