CONSULTA PÚBLICA DA INSTRUÇÃO NORMATIVA DO R-CIBER É ABERTA
A Anatel abriu, na última terça-feira, 21, a consulta pública nº 63 de Instrução Normativa que complementa o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), aprovado pela Resolução nº 740/2020.
O texto receberá contribuições, por meio do Sistema Interativo de Acompanhamento de Consulta Pública (SACP), durante 45 dias, sendo o dia 04/02/22 o último dia.
Acesse:
https://sistemas.anatel.gov.br/SACP/
De acordo com a proposta da Agência, todas as prestadoras de serviços de telecomunicações, independentemente do porte, devem alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários. Mesmo as Prestadoras de Pequeno Porte (PPPs) – que possuem participação de mercado nacional inferior a 5% em cada mercado de varejo – ficam sujeitas ao cumprimento dessa obrigação.
MOTIVAÇÃO DA PROPOSTA
Busca-se atualizar as configurações dos equipamentos da rede legada e em estoque e, assim, eliminar vulnerabilidades detectadas nestes equipamentos.
Para o conselheiro Carlos Baigorri, “A manutenção de configurações de segurança padrão, advindas do fabricante, torna-se um elo fraco na cadeia de segurança quando do provimento dos serviços de telecomunicações. O custo operacional de alteração de tais configurações mais do que se justifica, comparado ao risco que esses equipamentos representam quando em funcionamento na rede de uma prestadora. Trata-se de boa prática muito eficaz contra ataques de baixa complexidade técnica”.
A proposta submetida à consulta pública estabelece que a maioria das PPPs, por não ser detentora de Infraestruturas Críticas de Telecomunicações, estará desobrigada de prestar informações à Anatel. Prestadoras detentoras de cabo submarino com destino internacional, prestadoras do Serviço Móvel Pessoal que detenham rede própria e detentores de rede de suporte de transporte de tráfego interestadual, em mercado de atacado, por outro lado, deverão elaborar, implementar e manter uma Política de Segurança Cibernética; notificar a Agência e comunicar às prestadoras e aos usuários incidentes relevantes; realizar ciclos para avaliação de vulnerabilidades; e enviar à Anatel informações sobre suas infraestruturas críticas.
R-CIBER
O R-Ciber foi aprovado, em dezembro de 2020 por meio da Resolução nº 740/ 2020. O novo normativo representou um marco na atuação da Anatel quanto ao novo cenário tecnológico e regulatório, tendo estabelecido regras de alto nível para o atingimento de um ambiente mais seguro e estável quando do provimento das telecomunicações no País. Em 1º de março de 2021, foi inaugurado o Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).
“Entendo que o texto trazido pelo GT Ciber, positivamente, resguarda as PPP que não sejam enquadradas em nenhuma das hipóteses de infraestruturas críticas, garantindo o propósito fundamental do caput do art. 2º do RCiber, que excluiu, a priori, a obrigatoriedade de atendimento das disposições por tais prestadoras. Também é crucial ressaltar que as prestadoras não PPP são obrigadas pelo art. 11 do R-Ciber a informar sobre suas Infraestruturas Críticas de Telecomunicações”, votou o relator da matéria, conselheiro Carlos Baigorri.
Seguimos acompanhando o andamento da Consulta e seu posterior resultado em Fevereiro do próximo ano.
Fonte: Anatel | Blog da MHemann