A Anatel publicou, por meio do Ato nº 2.436, os requisitos mínimos de segurança cibernética para avaliação da conformidade de CPEs (Customer Premises Equipment) empregadas por provedoras de banda larga na conexão de assinantes.
Os requisitos serão obrigatórios a partir de março de 2024, em prazo de adequação para fabricantes e importadores das CPEs. As regras abarcam roteadores, modems e pontos de acesso utilizados na casa de clientes, independente da tecnologia de prestação da banda larga (fibra óptica, cabo, xDSL, FWA ou satélite).
Entre as novidades estão regras para as senhas providas de fábrica nos equipamentos (mirando mitigar vulnerabilidades causadas pelo uso de senhas padrão) e mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de autenticação por força bruta).
Os requisitos exigem, ainda, que os fabricantes e fornecedores de CPEs tenham políticas claras de suporte ao produto, disponibilizem gratuitamente atualizações de segurança para os softwares dos equipamentos e possuam canais para notificação de vulnerabilidades descobertas por usuários ou especialistas.
"Por ser a porta de acesso dos usuários ao ambiente da Internet, considera-se essencial que os equipamentos CPE atendam requisitos mínimos de segurança e não exponham os usuários a riscos que, na maioria dos casos, não têm consciência de sua existência", afirmou a Anatel, em comunicado.