ISPs com infraestrutura crítica deverão seguir o R-Ciber, propõe GT da Anatel

Grupo de trabalho coordenado pela Anatel decidiu que todas as empresas donas de infraestrutura crítica estão sujeitas ao regulamento de cibersegurança. Mas modulou as obrigações para diferenciar grandes ISPs dos pequenos. Proposta passará por avaliação do Conselho Diretor.

O Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber) da Anatel concluiu na última semana uma fase de seus trabalhos. Nesta etapa, deveria elaborar proposta para dizer se as obrigações existentes no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações valem também para operadoras de pequeno porte, os ISPs.

Formado por técnicos da agência, representantes das operadoras e da Telcomp, o GT propôs que todo ISPs com infraestrutura crítica deverá atender as obrigações do R-Ciber. Para tanto, sugere a criação de três níveis de infraestrutura crítica.

Conforme o nível, o operador de pequeno porte terá menos obrigações de segurança cibernética. A única obrigação que valerá para todos, independente do porte, é a mudança da senha que vem de fábrica nos equipamentos fornecidos aos usuários e a comunicação dos ativos de rede geridos à Anatel.

As Classes

Ficou decidido no GT que os três níveis de infraestrutura crítica para classificação dos ISPs serão:

Classe I – a empresa dona dessas infraestruturas críticas deve atender todas as exigências de segurança do regulamento, da mesma forma como as grandes operadoras nacionais. São de Classe I ISPs com cabo submarino com destino internacional, com rede móvel própria, ou redes de transporte interestadual explorada no atacado;

Classe II – são empresas que devem cumprir as exigências de implementar e manter somente uma Política de Segurança Cibernética, alterar a configuração padrão de autenticação dos equipamentos fornecidos aos seus usuários e enviar informações sobre as redes que detém para a Anatel;

Classe III – são as empresas que precisam apenas alterar a senha original de fábrica dos equipamentos entregues aos clientes e informar a Anatel sobre seus ativos.

Objeções

A discussão toda se deu, no entanto, sem que fossem definidas quais empresas entrariam em qual categoria. Para representantes do setor privado não está nítido quem seria enquadrado na classe II, aquela que exige uma política de cibersegurança, mas dispensa outras obrigações mais severas.

Segundo o Superintendente de Controle e Obrigações, Gustavo Borges, essas categorias foram estabelecidas apenas como referência teórica, ainda sem critérios definidos. Mais detalhes sobre elas serão trabalhadas no futuro.

É de se supor que os maiores ISPs do país, com alcance interestadual, sejam totalmente sujeitos ao R-Ciber, enquanto os pequenos fiquem apenas com a obrigação de atualizar a senha dos modens e roteadores enviados aos assinantes.

Conforme explica Borges no memorando conclusivo dos trabalhos dessa fase do GT-Ciber, a modulação das obrigações “tem o objetivo de alcançar de maneira abrangente toda a planta de telecomunicações instalada no território nacional, mas mantendo o respeito a questão do porte das prestadoras na medida em que aquelas que possuem menor quantidade de assinantes necessitarão despender menores esforços para atender a obrigação”.

O trabalho do GT-Ciber não se deu só de consensos, no entanto. Vivo, Claro e Oi reclamaram de partes da proposta. A Vivo reclamou “ao imputar tais obrigações no formato da proposta trazida pela Anatel, excluindo alguns agentes importantes, não traria a proteção desejada às suas redes do ponto de vista digital uma vez que critério de infraestrutura não teria qualquer correlação a incidentes cibernéticos”.

A Claro e a Oi defenderam que todos os ISPs, independente do porte, devem atender o artigo 10 do R-Ciber, ou seja, realizar ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética. Sem consenso quanto a isso, o coordenador do GT usou seu voto de minerva. Às operadoras cabe recursos administrativo, se desejarem.

Sem entidade creditadora

A proposta do GT-Ciber foi enviada à Superintendência Planejamento e Regulamentação (SPR). A SPR tem 90 dias para fazer sua avaliação e enviar a recomendação ao Conselho Diretor da Anatel. Deverá sugerir se as conclusões do grupo de trabalho serão incorporados à resolução do regulamento, ou publicadas em ato.

O GT-Ciber opinou ainda sobre outra questão. O Conselho Diretor da Anatel queria saber se a agência deveria criar ou designar uma entidade para fazer fiscalizar a conformidade com boas práticas de segurança cibernética das operadoras e ISPs. O grupo entendeu que isso não é necessário.

“No que diz respeito à constituição de uma entidade creditadora acatei a fundamentação apresentada pelo subgrupo que opinou pela desnecessidade, neste momento, de dispor de uma estrutura para esta finalidade. No que diz respeito ao acompanhamento a ser exercido pela Anatel os resultados eventualmente oferecidos por uma entidade creditadora serão supridos, em parte, pela realização dos ciclos de avaliação de vulnerabilidades e, complementarmente, pelos próprios esforços do GT-Ciber, da SCO e suportados por atividades de fiscalização se necessários”, informa Borges no documento enviado à SPR.

Telcomp

Após a publicação deste texto, a Telcomp, que representa os ISPs no GT-Ciber, enviou comunicado ao Tele.Síntese, diz que a solução alcançada já era esperada. E diz que ainda avalia a proposta para as classes II e III. Veja abaixo o comentário de Amanda Ferreira, Gerente de Assuntos Regulatórios da entidade:

“A TelComp, que é a representante de todas as PPPs no GT-Ciber e foi relatora do subgrupo “agentes”, destaca a importância da participação das PPPs no debate e avalia que as ações envolvendo Segurança Cibernética serão constantes entre todas as prestadoras, incluindo PPPs, que estão empenhadas em atuar com novas tecnologias, mas preocupadas em entregar serviços com qualidade e segurança para a sociedade. Sobre a classificação das infraestruturas críticas, notadamente a de Classe IC-I, já era esperado que alguns tipos de infraestrutura, além de cabos submarinos, fossem destinatários da integralidade das obrigações da Resolução nº 740/2020, notadamente os artigos 6º ao 11. No que se refere às classes adicionadas na proposta final do subgrupo (operadoras com rede móvel própria e/ou redes de transporte interestadual explorada no atacado), a Associação informa que está avaliando quais os grupos atingidos e os impactos e se manifestará no momento oportuno a respeito”.

Avatar photo

Rafael Bucco

Artigos: 4427