Categorias
Artigos

Anatel divulga regras de segurança cibernética nas de telecomunicações 5G

19/01/2021

Ericson Scorsim. Advogado e Consultor no Direito da Comunicação, com foco em tecnologias, mídias e telecomunicações. Doutor em Direito pela USP. Autor da Coleção de Livros sobre Direito da Comunicação.

A Anatel aprovou novas regras sobre segurança cibernética dos equipamentos de telecomunicações em tecnologia de 5G. Trata-se do ato n. 77, de 05 de janeiro de 2021, adotada pela Superintendência de Outorga e Recursos à Prestação de Serviços de Telecomunicações.  Parte-se do princípio da segurança pelo design do produto (security by design).

Como fundamentos do ato há referência à Lei Geral de Proteção de Dados Pessoais, o Marco Civil da Internet, o Regulamento para Avaliação de Conformidade e Homologação de Produtos para Telecomunicações e a Resolução n. 740/2020 que aprova o Regulamento de Segurança Cibernética aplicada ao setor de telecomunicações e a Instrução Normativa n. 4, de 26 de março de 2020 do Gabinete de Segurança Nacional sobre segurança cibernética no 5G.  Há regras sobre a atualização de software com métodos adequados de criptografia, autenticação e verificação de integridade.

Neste aspecto, o usuário do equipamento de telecomunicações deve ser informado sobre a disponibilidade de atualizações de software. Além disto, há regras sobre o gerenciamento remoto de produtos de telecomunicações com técnicas adequadas de autenticação e criptografia. Há a previsão de mecanismos para  monitorar o funcionamento não usual do software. Existe regra de configuração do acesso ao equipamento, como, por exemplo, a não permissão de utilização de senhas de acesso fracas. Por outro lado, em relação aos serviços de comunicação de dados, veda-se a utilização de ferramenta de teste ou backdoor na etapa de desenvolvimento do produto.

No que pertinente aos dados pessoais e dados pessoais sensíveis, permite-se a utilização de métodos de criptografia. E, ainda, há regra sobre a capacidade de mitigação de ataques cibernéticos, como, por exemplo, mecanismo de limitação da taxa de transmissão de dados de saída. Ademais, devem ser adotados mecanismos para validação do endereço de origem dos pacotes de dados, filtrando-se pacotes com endereço de origem falsificados (filtro antispoofing). Acerca dos requisitos para fornecedores de equipamentos de telecomunicações exige-se a adoção de uma política de suporte ao produto, especialmente em relação às atualizações de software para correção de vulnerabilidades, com opções ao consumidor quanto à segurança do equipamento.

O fornecedor do produto de telecomunicações deve manter um canal público de suporte ao usuário com informações sobre vulnerabilidades identificadas em seus produtos. Em síntese, o ato da Anatel reconhece a importância da criptografia para a proteção e segurança na comunicação de dados.

Ericson M. Scorsim

Advogado e Consultor em Direito da Comunicação. Doutor em Direito pela USP. Autor da Coleção Ebooks sobre Direito da Comunicação com foco em temas sobre tecnologias, internet, telecomunicações e mídias.