A Anatel editou no último dia 5 o seu primeiro ato voltado à segurança cibernética de equipamentos de telecomunicações. O Ato 77/2021, cuja íntegra pode ser lida aqui, foi editado pela Superintendência de Outorgas e Recursos à Prestação que tem como objetivo "estabelecer um conjunto de requisitos de segurança cibernética para equipamentos para telecomunicações visando minimizar ou corrigir vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações". O ato também estabelece os critérios para certificação e homologação de equipamentos em relação aos requisitos de segurança.
Um dos aspectos importantes do ato é que ele estabelece que "quaisquer falhas de segurança cibernética identificadas em equipamentos homologados que afetem a segurança de seus usuários, prestadoras ou das redes de telecomunicações do país podem ser objeto de avaliação pela Anatel".
O regulamento estabelece as referências internacionais que são utilizadas pela agência e que devem ser observadas pelas empresas e trazem as definições básicas de nomenclatura. Além disso, traz os requisitos mais importantes a serem observados no processo de homologação e certificação. O mais importante é que todos eles devem ser desenvolvidos dentro do conceito de "security by design".
Além disso, o ato estabelece que "Identificada, no produto homologado, qualquer falha ou vulnerabilidade que afete a segurança de seus usuários ou das redes de telecomunicações do país , a Agência notificará o responsável pela homologação a saná-la, indicando prazo adequado para esse fim, considerando-se o grau de severidade da vulnerabilidade". Caso não sejam sanadas, a agência pode determinar o recolhimento de equipamentos.
A agência estabelece uma série de diretrizes para operadores e fornecedores em relação à atualização de software e firmware, diretrizes de configurações iniciais de segurança, verificação inicial, manutenção remota, compartilhamento de dados dos equipamentos, troca de dados pessoais, senhas etc.
Entre as determinações para os prestadores, estão aquelas que estabelecem a capacidade de impedir o uso dos equipamentos como vetores de ataques, ataques de negação de serviço, entre outras. Também estão proibidos backdoor nos equipamentos não relacionados ao funcionamento do mesmo.
A Anatel poderá também aceitar, para fins de comprovação de atendimento aos requisitos listados no regulamento em relação à homologação e certificação, declarações de que o equipamento atende a normas ou recomendações internacionais que possuam escopo alinhado aos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações.