Cibersegurança gera grandes embates na Anatel
A adoção de medidas de cibersegurança nas redes de telecomunicações está gerando grandes embates nos grupos técnicos da Anatel, que não estão conseguindo concluir as discussões por consenso, como era o esperado, e deverão ainda obrigar a novas decisões solitárias por parte do agente regulador. Embora a última consulta pública sobre o tema tenha se encerrado no mês passado, e que definiu que caberá aos provedores regionais de internet apenas a troca dos aparelhos de seus clientes, o fato é que as grandes operadoras de telecomunicações alegam haver muitos riscos com essa decisão, e mantêm o debate e a proposta para que a posição da agência seja revisitada.
Antes mesmo do término da consulta pública, Claro, Vivo, Oi e TIM já ingressavam com recursos no Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), com inúmeros argumentos para que as redes de telecomunicações dos ISPs também se adapatem às exigências de segurança máxima estabelecidas para elas pela agência.
O presidente do GT-Ciber, que é o superintendente de Controle de Obrigações, definiu três Infraestruturas Críticas de Telecomunicações (ICT), para as quais serão exigidos o máximo de regras de segurança: cabo submarino com destino internacional; prestadores do SMP que detenham rede própria; detentores de rede de suporte para transporte de tráfego interestadual em mercado de atacado. ( backhaul e backbone).
Para as grandes teles, porém, isentar as redes dos ISPs de também terem cuidados maiores seria um grande risco, uma vez que um ataque eventual poderia “comprometer todos os atores”. A Claro, por exemplo, reivindicou que os operadores de pequeno porte fossem obrigados, pelo menos, a cumprir dois dos artigos do regulamento de cybersegurança: o 9º, que determina às teles a notificarem os incidentes e o 10º, que estabelece ciclos de avaliação de vulnerabilidades das redes.
A Vivo, por sua vez, aponta que o regulamento deveria ser exclusivamente técnico, sem considerar o porte ou a abrangência das operadoras. Isso porque, alegou, a segurança cibernética engloba também a infraestrutura de rede lógica, e não apenas a física. E, para a Vivo, as obrigações do regulamento de segurança deveria abranger todas as empresas que tiverem AS (Autonomous System); DNS (Domain Name System); ou possuir registro próprio de IP (Internet Protocol).
Para a Oi, do mesmo modo, todos os agentes deveriam ser abrangidos pelas regras do R-Ciber, em virtude da integração das redes em funcionamento. A Oi chega a reivindicar que os fornecedores dos equipamentos também tenham seus equipamentos submetidos a análises de vulnerabilidades constantemente. A TIM, por sua vez, argumenta que, se a LGPD (Lei Geral de Proteção de Dados) não discrimina o porte das empresas, o mesmo deveria ser feito pelo regulador de telecom.
ISPs
Telcomp e entidades dos ISPs, por sua vez, dizem que não deveria haver incidência indiscriminada do R-Ciber sobre as PPP (prestadoras de pequeno porte), tendo em vista que suas redes são mais limitadas geograficamente, fragmentadas, e possuem menor criticidade. Por isso, apoiaram a proposta do coordenador da comissão.
O Conselho Diretor, em recente decisão manteve o entendimento da superintendência, de não acatar o pleito das grandes telcos, argumentando que R-Ciber “exige que todos os agentes envolvidos na prestação dos serviços de telecomunicações atuem em atenção às boas práticas concernentes à Segurança Cibernética, adotando normas e padrões internacionais e identificando, protegendo, diagnosticando e recuperando os incidentes sob sua responsabilidade”. Mas o embate não terminou.
A seguir o resumo das obrigações dos pequenos e grandes operadores: