Todos os ISPs com infraestrutura crítica deverão seguir o R-Ciber

O Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber) da Anatel concluiu na última semana uma fase de seus trabalhos. Nesta etapa, deveria elaborar proposta para dizer se as obrigações existentes no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações valem também para operadoras de pequeno porte, os ISPs.

Formado por técnicos da agência, representantes das operadoras e da Telcomp, o GT propôs que todo ISPs com infraestrutura crítica deverá atender as obrigações do R-Ciber. Para tanto, sugere a criação de três níveis de infraestrutura crítica.

Conforme o nível, o operador de pequeno porte terá menos obrigações de segurança cibernética. A única obrigação que valerá para todos, independente do porte, é a mudança da senha que vem de fábrica nos equipamentos fornecidos aos usuários e a comunicação dos ativos de rede geridos à Anatel.

As Classes

Ficou decidido no GT que os três níveis de infraestrutura crítica para classificação dos ISPs serão:

Classe I – a empresa dona dessas infraestruturas críticas deve atender todas as exigências de segurança do regulamento, da mesma forma como as grandes operadoras nacionais. São de Classe I ISPs com cabo submarino com destino internacional, com rede móvel própria, ou redes de transporte interestadual explorada no atacado;

Classe II – são empresas que devem cumprir as exigências de implementar e manter somente uma Política de Segurança Cibernética, alterar a configuração padrão de autenticação dos equipamentos fornecidos aos seus usuários e enviar informações sobre as redes que detém para a Anatel;

Classe III – são as empresas que precisam apenas alterar a senha original de fábrica dos equipamentos entregues aos clientes e informar a Anatel sobre seus ativos.

Objeções

A discussão toda se deu, no entanto, sem que fossem definidas quais empresas entrariam em qual categoria. Para representantes do setor privado não está nítido quem seria enquadrado na classe II, aquela que exige uma política de cibersegurança, mas dispensa outras obrigações mais severas.

É de se supor que os maiores ISPs do país, com alcance interestadual, sejam totalmente sujeitos ao R-Ciber, enquanto os pequenos fiquem apenas com a obrigação de atualizar a senha dos modens e roteadores enviados aos assinantes. Mais detalhes sobre os critérios para inclusão dos ISPs nas Classes II e III ainda devem ser trabalhados.

Conforme explica o Superintendente de Controle e Obrigações, Gustavo Borges, no memorando conclusivo dos trabalhos dessa fase do GT-Ciber, a modulação das obrigações “tem o objetivo de alcançar de maneira abrangente toda a planta de telecomunicações instalada no território nacional, mas mantendo o respeito a questão do porte das prestadoras na medida em que aquelas que possuem menor quantidade de assinantes necessitarão despender menores esforços para atender a obrigação”.

O trabalho do GT-Ciber não se deu só de consensos, no entanto. Vivo, Claro e Oi reclamaram de partes da proposta. A Vivo reclamou “ao imputar tais obrigações no formato da proposta trazida pela Anatel, excluindo alguns agentes importantes, não traria a proteção desejada às suas redes do ponto de vista digital uma vez que critério de infraestrutura não teria qualquer correlação a incidentes cibernéticos”.

A Claro e a Oi defenderam que todos os ISPs, independente do porte, devem atender o artigo 10 do R-Ciber, ou seja, realizar ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética. Sem consenso quanto a isso, o coordenador do GT usou seu voto de minerva. Às operadoras cabe recursos administrativo, se desejarem.

Sem entidade creditadora

A proposta do GT-Ciber foi enviada à Superintendência Planejamento e Regulamentação (SPR). A SPR tem 90 dias para fazer sua avaliação e enviar a recomendação ao Conselho Diretor da Anatel. Deverá sugerir se as conclusões do grupo de trabalho serão incorporados à resolução do regulamento, ou publicadas em ato.

O GT-Ciber opinou ainda sobre outra questão. O Conselho Diretor da Anatel queria saber se a agência deveria criar ou designar uma entidade para fazer fiscalizar a conformidade com boas práticas de segurança cibernética das operadoras e ISPs. O grupo entendeu que isso não é necessário.

“No que diz respeito à constituição de uma entidade creditadora acatei a fundamentação apresentada pelo subgrupo que opinou pela desnecessidade, neste momento, de dispor de uma estrutura para esta finalidade. No que diz respeito ao acompanhamento a ser exercido pela Anatel os resultados eventualmente oferecidos por uma entidade creditadora serão supridos, em parte, pela realização dos ciclos de avaliação de vulnerabilidades e, complementarmente, pelos próprios esforços do GT-Ciber, da SCO e suportados por atividades de fiscalização se necessários”, informa Borges no documento enviado à SPR.

FONTE: TeleSíntese
Meu agradecimento pelas excelentes publicações!