Marcelo Motta, diretor de Cibersegurança da Huawei, acredita que outros elementos devem ser analisados ao se tratar de segurança cibernética, especialmente quando a infraestrutura de rede já utiliza equipamentos que seguem padrões internacionais de segurança. É preciso considerar outros fatores, como a própria arquitetura e operação da rede.
"A arquitetura da rede é responsabilidade da operadora de desenhar e construir. Não basta ter equipamento seguro se o pessoal que fizer a operação da rede levar informações para fora. Então, se hoje os equipamentos já possuem padrões internacionais, têm compliance com as operadoras e regras internacionais, temos que ter o passo seguinte de colocar isso dentro da arquitetura da rede", declarou ele painel TELETIME Tec, nesta segunda-feira, 24.
"O core da rede é importante. Se passar por meios de transmissão próprios, fica mais fácil. Quando passa por elementos de transmissão que não são seus, aí é preciso ter cuidado", disse Motta.
Regulação e atuação limitada
No final do ano passado a Anatel editou a Resolução 740/2020, direcionada às grandes operadoras nacionais e que coloca obrigações de cumprir uma série de diretrizes relacionadas ao tema de segurança cibernética em redes de telecomunicações. Gustavo Borges, coordenador do GT de Cibersegurança da agência, lembra que, no geral, as próprias teles têm políticas próprias de segurança, mas é preciso um esforço mais amplo de coordenação para que não sejam ações isoladas.
Borges também salientou que a agência tem um grupo técnico composto por várias superintendências, além de operadoras e representante de pequenos provedores – no caso, pela TelComp. "Esse grupo faz o debate de gerenciamento de riscos. Com ele também se criou um ambiente de troca de informações entre esses atores", declarou.
"O regulamento foi aprovado no fim do ano passado. Ele determina a notificação da Anatel quando ocorrer incidentes nas redes. A ideia é criar as regras de como será essa notificação, por exemplo, além de ter sugestões de melhores práticas. Esses são os trabalhos iniciais do grupo. Mas muito ainda pode ser feito no futuro", finalizou o coordenador do grupo de cibersegurança. Ele aponta que existem outras preocupações que ainda precisam ser endereçadas, como a segurança e adoção de boas práticas na construção e manutenção de rede, conforme já pediu a Feninfra (Federação Nacional das Empresas de Infraestrutura). E entende que a partir da regulamentação atual, também o trabalho de certificação e homologação de equipamentos de telecom será alterada para incluir uma análise mais criteriosa do software.
Um dos desafios colocados por Gustavo Borges, contudo, é que a Anatel não tem delegação legal para atuar na esfera de aplicativos e serviços que trafegam sobre a rede, por onde surgem boa parte das vulnerabilidades da rede a ataques cibernéticos, e por isso o diálogo com outras áreas do governo é necessária e permanente. Outro desafio é que o enforcement das regras só se aplica às operadoras, que são os entes regulados pela Anatel.
Fiscalização de equipamentos
Ygor Valério, da empresa de consultoria LTA Hub/CQSFV, acredita que o problema da cibersegurança não tem solução 100% perfeita, precisa de algum nível de coordenação internacional e que um caminho importante a ser seguido é monitorar e fiscalizar a entrada e saídas de equipamentos não homologados.
"Hoje, é preciso olhar para as fronteiras, para fiscalizar a entrada de produtos não homologados. Dentro de segurança cibernética, as caixas de TV box têm um backdoor que permite acesso a sua senha, por exemplo, e hoje temos uma dificuldade para fiscalizar a entrada desses equipamentos no Brasil", diz Valério.
O consultor também aponta que é preciso uma nova análise técnica sobre as homologações de equipamentos, não sendo apenas mais documental. Isso porque, na opinião dele, não basta um determinado equipamento ter a documentação "ok" para ser considerado seguro. "Se você tem um produto legalmente homologado, você pode ter nesse produto um backdoor, por exemplo. E isso envolve uma modalidade de fiscalização mais profunda", disse o executivo.
Ygor Valério também ressaltou que é importante os padrões de uso seguirem os discutidos internacionalmente, além de serem objeto de cooperação internacional, entre empresas e entre países, tanto nos aspectos fiscalizatórios quanto no compartilhamento de tecnologia. "A ideia é criar padrões a serem adotados e criados para as empresas seguirem internacionalmente", destacou.
