A Anatel negou recursos da Algar, Claro, Oi, Vivo, TIM e da TelComp contra determinados dispositivos das regras de conformidade com obrigações propostas no novo Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740/2020 e que serão implantadas pelo grupo de cibersegurança da Anatel, o GT-Ciber. A decisão foi tomada de forma unânime pelo Conselho Diretor da agência nesta quinta-feira, 10.
Em suma, as grandes operadoras – Claro, Oi, Vivo e TIM – demandava que as regras propostas fossem também direcionadas às prestadoras de pequeno porte (PPPs). Já a TelComp, que representa operadoras competitivas, foi justamente no sentido contrário. A Algar, por sua vez, questionava a ampliação ou restrição da abrangência das obrigações afirmando não haver mandato concedido ao GT-Ciber.
Porém, a Anatel entende que é cedo para essas críticas. Por um motivo simples: o assunto ainda está em consulta pública (nº 63/2021), que continua em aberto até o próximo dia 21 de março.
Por isso, o conselheiro relator, Carlos Baigorri, afirmou que qualquer manifestação mais detalhada sobre os recursos poderia obstruir a consulta pública. "Assim, o que se espera é que as partes utilizem-se deste canal para apresentar e fundamentar suas propostas, imbuídas do caráter responsivo que tanto pleiteiam seja adotado pela agência. Para que isso se torne realidade é essencial que os agentes setoriais demonstrem efetivamente estarem habilitados para este exercício", declarou o conselheiro no voto.
Argumentos
Mas o assunto chama atenção porque envolve a implantação de medidas para proteção à infraestrutura crítica, por exemplo. A TelComp criticou a proposta do texto em consulta, afirmando que definições de classes II e III nas infraestruturas críticas poderia onerar a cadeia de valor e "não faria sentido do ponto de vista de tratamento da criticidade de redes". Também colocava que as obrigações de SMP deveriam estar restritas às prestadoras com redes próprias – a entidade apresentou recurso administrativo endossado pela Abrint, Internetsul e Associação Neo.
Por sua vez, a Claro manifestou que seria necessário enquadrar também as PPPs. O argumento é de que "o setor de telecomunicações se encontra totalmente interligado, e que um ataque eventual poderia comprometer todos os atores". Mas diz que isso não significa que haveria barreira de entrada para esses provedores menores.
É o mesmo argumento da TIM, que diz que as PPPs seriam justamente as mais vulneráveis a ataques digitais, o que tornaria as redes menos seguras e fragilizaria o ecossistema. Cita que a Lei Geral de Proteção de Dados (LGPD) não faz distinções do porte da empresa para exceções ou isenções, e que, por isso, o mesmo deveria ser aplicado ao R-Ciber.
Já a Vivo coloca que não haveria justificativa técnica para a exclusão de determinados agentes. Isso porque o tema engloba aspectos da infraestrutura de rede lógica, e não apenas a física, e por isso deveria se pautar exclusivamente por aspectos técnicos, sem considerar porte ou abrangência da prestadora. Conforme descreve Baigorri, a operadora alega "que as obrigações do R-Ciber deveriam se estender a todos os demais agentes interligados ao setor de telecomunicações, com alguma das seguintes características: ser AS (Autonomous System); DNS (Domain Name System); ou possuir registro próprio de IP (Internet Protocol)".
Na mesma linha, a Oi também entende que as regras deveriam abranger prestadoras de todos os portes, alegando que apenas assim haveria proteção. Ressalta ainda que o fornecimento de equipamentos de TIC deveria ter política de segurança cibernética (PSC) compatível, com análises constantes de vulnerabilidade e regras valendo também para todas as operadoras. Da mesma forma, a alteração da configuração padrão de equipamentos em regime de comodato também seria aplicável a todos.
