CPE: Anatel define requisitos mínimos de segurança cibernética
A Agência Nacional de Telecomunicações (Anatel) informou, nesta terça-feira, 11, os requisitos mínimos de segurança cibernética que serão exigidos para equipamentos do tipo CPE (Customer Premises Equipment) comercializados no País.
Segundo o órgão regulador, as condições serão obrigatórias para a homologação dos CPEs a partir de 10 de março de 2024. O prazo foi estabelecido para que fabricantes nacionais e importadores tenham tempo para ajustar seus processos produtivos e de aquisição de equipamentos.
Os requisitos, na verdade, constam no Ato 2.436/2023, do dia 7 de março de 2023. Em linhas gerais, conforme a Anatel, o “instrumento visa tratar vulnerabilidades comuns nesta categoria de equipamentos, tais como as senhas padrão (iguais entre todas as unidades fabricadas) e a presença de portas/serviços de comunicação habilitados desnecessariamente, o que aumenta a superfície de ataque que pode ser explorada por agentes maliciosos”.
Segundo o documento, as senhas providas de fábrica “não podem ser fracas”, como as que utilizam credenciais iguais para todos os dispositivos produzidos, derivadas de informação de fácil obtenção por métodos de escaneamento de tráfego de dados em rede, ou em branco.
Para as senhas definidas pelos usuários, não será permitido o uso de senhas em branco ou consideradas fracas. Além disso, o manual do produto, seja físico ou digital, deverá informar as quantidades mínima e máxima de caracteres permitidas, bem como a regra para formação da senha.
A Anatel também estabeleceu requisitos de segurança para os equipamentos. Desse modo, os aparelhos devem conter mecanismos de defesa contra tentativas exaustivas de acesso não autorizado e rotinas de encerramento de sessões inativas (timeout).
Também não deve ser possível utilizar credenciais, senhas e chaves criptografadas definidas no próprio código fonte do software/firmware que não podem ser alteradas (hard-coded). As senhas, inclusive, devem ser armazenadas e transmitidas por meio de métodos adequados de criptografia ou hashing.
Ademais, o equipamento deve facultar ao usuário a possibilidade de desabilitar funcionalidades e serviços de comunicação não essenciais à operação e fornecer serviços de comunicação de dados não usualmente desabilitados, para reduzir a superfície de ataque.
Em nota, a Anatel afirma que as vulnerabilidades permitem que esses equipamentos sejam acessados por agentes maliciosos, os quais configuram ou instalam malwares que transformam os CPEs em vetores de ataque de negação de serviço (DDoS) ou expõem dados pessoais na internet.
Por fim, os fabricantes e os fornecedores de CPEs devem ter políticas claras de suporte ao produto, além de disponibilizar gratuitamente atualizações de segurança e manter canais de notificação de vulnerabilidades descobertas por usuários ou especialistas. (Com assessoria de imprensa)