Novos requisitos de senha para CPEs vão à consulta pública
A Superintendência de Outorga e Recursos à Prestação da Agência Nacional de Telecomunicações (Anatel) abre nesta terça-feira, 15, uma Consulta Pública para atualizar os parâmetros de segurança cibernética dos equipamentos de dentro das instalações do cliente (CPEs na sigla em inglês). A proposta aberta para contribuições atualiza a definição de senha contida nos requisitos mínimos para avaliação da conformidade, após demanda apresentada por fabricantes.
Os interessados devem encaminhar sugestões pela Plataforma Participa, a partir das 14h desta terça, e o prazo seguirá pelos próximos dez dias.
Os atuais requisitos mínimos, dispostos no Ato nº 2436/2023, estão em vigor desde março deste ano, antecedido de uma análise que levou em conta a “percepção de que muitos dos equipamentos CPE distribuídos no mercado nacional possuíam a vulnerabilidade de configuração padrão da autenticação”, conforme a documentação do processo.
“Tal vulnerabilidade, que consiste na configuração de fábrica das senhas de autenticação iguais em todas as unidades de equipamentos produzidas, permite que agentes mal intencionados facilmente acessem o ambiente de configuração dos equipamentos via internet e tomem controle daquelas CPEs que não tiveram sua senha padrão alterada”.
Os riscos relacionados incluem “o comprometimento do sigilo das informações (pessoais, bancárias, etc.) dos usuários dos serviços de telecomunicações, além de permitir que tais CPEs sejam utilizadas como vetores em ataques de negação de serviço distribuídos (DDoS) ou em outros tipos de ataques cibernéticos”.
Desta forma, o ato já em vigor estabeleceu critérios para senhas mais seguras e definiu que fabricantes devem adotar políticas que garantam a atualização e a segurança dos CPEs durante seu ciclo de vida.
No entanto, fabricantes relataram à Anatel algumas dificuldades para cumprir os requisitos, por exemplo, padrões de semântica que criaram obstáculos para dispositivos de Internet das Coisas (IoT) e inviabilidades para aplicações corporativas. Em decorrência disso, foi proposta a atualização.
A minuta sob consulta apenas muda o conceito de “senha fraca”, deixando facultativo o uso de caractere especial, para fins de compatibilidade entre as aplicações.