Encerrada pela Anatel, a consulta pública sobre a extensão de regras do Regulamento de Segurança Cibernética às prestadoras de pequeno porte (PPPs) motivou questionamentos de operadoras como Algar Telecom e Hughes e das entidades de provedores regionais Abrint e TelComp.
A proposta da reguladora impõe uma série de novas obrigações às PPPs. Parte delas serão exigidas de três grupos: operadoras de cabos submarinos com destino internacional, prestadoras de telefonia móvel (SMP) detentoras de rede própria e empresas com redes para transporte de tráfego interestadual no mercado de atacado.
Já a necessidade de alterar a configuração padrão de autenticação de equipamentos fornecidos em comodato a assinantes será exigida de todas as PPPs do mercado, sem exceções. Em sua maioria, os representantes dos provedores solicitaram prazo mínimo de 18 meses para a adoção da exigência.
Enquanto a Abrint pediu que "particularidades da tecnologia e dos protocolos de autenticação" sejam expressamente considerados, a Algar apontou "custos elevadíssimos" com a alteração das senhas – que devem valer para equipamentos como roteadores WiFi. Em contribuição, a operadora de satélite Hughes resumiu a preocupação com o escopo da exigência de troca das senhas.
"Milhares de equipamentos em regime de comodato já podem estar instalados em locais remotos do País e que podem corresponder a um parque tecnológico que ainda não contemplava os avanços cibernéticos assumidos nesta proposta na época de sua instalação em campo, de que permitam uma reconfiguração remota. Neste caso as PPPs seriam forçadas a arcar com um alto custo de visitas a campo para uma reconfiguração 'in loco', custo esse que pode trazer impacto negativo ao negócio e à oferta dos serviços", afirmou a Hughes.
Cabos, SMP e atacado
No caso das regras para operadoras de cabos submarinos, móveis e de atacado interestadual, o prazo de 18 meses para adoção também é solicitado. A proposta da Anatel é tornar obrigatória a adoção de políticas de cibersegurança, a exigência de conformidade entre fornecedores, a notificação de incidentes, a análise de ciclos de vulnerabilidades e o reporte de informações sobre infraestrutura à agência.
A maior abrangência das regras foi questionada pela Algar, que argumentou não existir fato novo que justifique o fim da abordagem regulatória diferenciada para PPPs. A mudança, segundo a tele, traria efeito imediato sobre custos sem a devida análise de impacto regulatório.
Já a TelComp classificou a proposta como injustificável, pelo menos no que tange as operadoras móveis e de atacado interestadual. Para a entidade, o enquadramento de empresas nas duas categorias não representa necessariamente a criticidade da infraestrutura detida. Neste sentido, a associação pediu a manutenção de uma aplicação "modular" das regras, em processo crescente de responsabilidade conforme o tamanho e complexidade das operações.
"Em linha não só com a decisão do Conselho Diretor, mas também em linha com a tendência regulatória de redução e barreiras e custos, e as práticas de países da União Europeia, China e Estados Unidos, não resta dúvida de que o caminho mais adequado, proporcional, inclusivo e efetivo para as PPPs está na conscientização e promoção de uma cultura cibernética com o aumento de participação nas discussões", alegou a Telcomp.
Vale notar que também foi apontado um diagnóstico de pouca influência das prestadoras pequenas nas discussões do GT-Ciber (que concentra o debate sobre cibersegurança). "É sabido pela Anatel que as PPPs não tiveram participação relevante no GT-Ciber. A ausência de voz ativa nesse grupo de trabalho colocou as PPPs em condição de desvantagem", reclamou a Algar. "A Anatel deve conferir maior espaço de atuação às PPPs no GT-Ciber, ampliando-se sua representatividade e admitindo-se mais membros", solicitou a Abrint.
Oi
Pelo lado das grandes operadoras, a única empresa a enviar contribuição constante no sistema eletrônico da Anatel foi a Oi. A tele defendeu que todas as PPPs sigam as regras na totalidade, independente da classificação e porte.
"Para que se tenha êxito na prevenção contra incidentes cibernéticos, esta precisa ser uniforme e englobar todos os players, a fim de permitir a efetiva proteção de dados e informações virtuais, haja vista que as redes de telecomunicações são todas encadeadas e interligadas", afirmou a empresa.