Proposta de requisitos de segurança em equipamentos de rede entra em consulta
A Anatel abriu, nesta quinta-feira, 19, a consulta pública da proposta de requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam a Internet e para equipamentos de infraestrutura de redes de telecomunicações. O texto está em conformidade com a Estratégia Nacional de Segurança Cibernética, denominada E-Ciber, estabelecida pelo governo e tem como objetivo minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.
De acordo com a proposta, os equipamentos terminais que se conectam a Internet e equipamentos de infraestrutura de redes de telecomunicações, em suas versões finais destinadas à comercialização, devem Possuir mecanismos periódicos, seguros e automatizados para atualização de software/firmware que empregam métodos adequados de criptografia, autenticação e integridade. E permitir que os usuários verifiquem, de forma não automatizada, a disponibilidade de atualizações.
Os equipamentos também devem possuir mecanismo para limitação da taxa de transmissão de dados de saída (upload), além do usualmente necessário, a fim de minimizar sua utilização como vetores em ataques a outros equipamentos ou sistemas (ataque de negação de serviço). E ser projetados para mitigar os efeitos de ataques de negação de serviço em andamento, sendo resistentes a um número excessivo de tentativas de autenticação, por meio de, por exemplo: priorização de sua capacidade de processamento às sessões de comunicação já estabelecidas e autenticadas; e limitação do número de sessões de autenticação concorrentes, descartando tentativas de estabelecimento de novas sessões quando superado limite estabelecido.
O prazo para contribuição é de 60 dias.