Aprendizado e descoberta 4min de Leitura - 17 de maio de 2022

Anatel edita seu Regulamento de Segurança Cibernética

anatel

This post is also available in: Português

A Anatel (Agência Nacional de Telecomunicações) tem tratado a segurança cibernética com prioridade, e isso motivou a Agência a editar o Regulamento de Segurança Cibernética aplicada ao Setor de Telecomunicações e do Ato de Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações.

Existem muitas normas que abordam a segurança cibernética no Brasil, sob diversos enfoques e competências. As competências da Anatel quanto a segurança cibernética são definidas pela Lei Geral de Telecomunicações (LGT) – Lei nº 9.472, de 16 de julho de 1997, e também por outras políticas públicas, como Estratégia Brasileira para a Transformação Digital; Política Nacional de Segurança da Informação; Estratégia Nacional de Segurança Cibernética.

Considerando as suas competências legais e as políticas públicas governamentais, a Anatel editou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740/2020.

Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações

O estudo sobre a regulamentação de segurança das redes de telecomunicações foi incluído na Agenda Regulatória da Anatel. Também foi realizada a Consultoria Pública nº52, para recebimento de contribuições da sociedade. A Agenda Regulatória 2019 – 2020 manteve a prioridade do assunto, o que levou à aprovação do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

Princípios e diretrizes

Os princípios e diretrizes se aplicam a todas as prestadoras dos serviços de telecomunicações, de interesse coletivo ou restrito, independentemente do porte. Já as demais disposições aplicam-se a todas as prestadoras dos serviços de telecomunicações de interesse coletivo, ressalvadas as de Prestadoras de Serviços de Telecomunicações de Pequeno Porte (PPP).

O Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações estabeleceu como princípios:

  • Autenticidade;
  • Confidencialidade;
  • Disponibilidade;
  • Diversidade;
  • Integridade;
  • Interoperabilidade;
  • Prioridade;
  • Responsabilidade;
  • Transparência.

Já as diretrizes foram estabelecidas como:

  • Adoção de boas práticas e normas internacionais referentes à segurança cibernética;
  • Disseminação da cultura de segurança cibernética;
  • A utilização segura e sustentável das redes e serviços de telecomunicações;
  • Identificação, proteção, diagnóstico, resposta e recuperação de incidentes de segurança cibernética;
  • Outras.
    • Obrigações

      O Regulamento traz as seguintes obrigações:

      • A elaboração, manutenção e implementação de uma Política de Segurança Cibernética;
      • A publicação pela prestadora, em sua página na Internet, com linguagem compreensível, da sua Política de Segurança Cibernética;
      • A apresentação à Anatel, anual ou sempre que solicitado, de seu relatório sobre o acompanhamento de execução da Política de Segurança Cibernética;
      • Outras.

      Governança

      O Regulamento também estabelece um modelo de governança no âmbito da Agência, por meio do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).

      Esse grupo tem diversas obrigações relacionadas ao acompanhamento da Política de Segurança Cibernética e Gestão de Infraestrutura Crítica; à configuração de equipamentos, requisitos técnicos e fornecedores; ao compartilhamento de informações e boas práticas; Assim como à conscientização, capacitação, estudos e interação com as Comissões Brasileiras de Comunicações (CBCs).

      Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações

      Após a edição do Regulamento, a Agência deu mais um passo para promover a segurança cibernética do setor, com a aprovação dos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, em janeiro de 2021.

      Cabe à Agência realizar a certificação e homologação de equipamentos para telecomunicações, desde aqueles mais simples, como sensores com interfaces de comunicação sem fio, até aqueles mais complexos, como equipamentos de núcleo de rede de operadoras. Um dos princípios dessa atividade de homologação é a proteção e a segurança dos usuários desses produtos.

      Programa de Supervisão de Mercado

      A Anatel optou por acompanhar a segurança dos equipamentos de telecomunicações por meio de um Programa de Supervisão de Mercado, no qual os produtos disponibilizados ao consumidor são constantemente monitorados por ela. Isso se deve ao conjunto de recomendações baseadas em boas práticas, considerando o contexto de novas ameaças cibernéticas, no qual novas vulnerabilidades em produtos são descobertas a cada dia.

      Neste modelo de atuação, os requisitos não serão avaliados no ato de certificação e homologação dos equipamentos, mas sim durante o período que estão disponíveis ao mercado consumidor.

      Caso identificada qualquer falha ou vulnerabilidade que coloque em risco a segurança dos usuários ou que ameacem a integridade das redes de telecomunicações, o produto terá sua homologação suspensa até que o problema seja resolvido.

      O objetivo do estabelecimento dos requisitos, em conjunto com a criação de um Programa de Supervisão de Mercado, visa monitorar o mercado em busca de produtos inseguros, garantir que fabricantes implementem correções de falhas/vulnerabilidades identificadas e impedir que equipamentos inseguros sejam comercializados.

      Assim, os requisitos e o Programa de Supervisão de Mercado contribuem para aumentar a segurança para os consumidores e as redes de telecomunicações.

      Conscientização

      Além de promover a segurança das redes de telecomunicações, via regulamentação e também com os Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, a conscientização de toda sociedade é fundamental para a construção de uma cultura de segurança cibernética.

      Fonte: GOV.br

      This post is also available in: Português