A Anatel começou a discutir nesta quinta, 30, uma regulamentação para os serviços públicos de emergência e à segurança de redes de telecomunicações. O debate é importante porque é nesse nível que devem ser abordadas questões como a segurança das redes 5G, objeto de uma política específica publicada pelo Gabinete de Segurança Institucional e com potencial de grandes implicações comerciais, por ter como pano de fundo as disputas entre EUA e China, a possibilidade de restrições a equipamentos chineses e, sobretudo, por afetar a dinâmica econômica entre operadoras e fornecedores.
A proposta relatada pelo conselheiro Moisés Moreira (cuja íntegra está disponível aqui) não foi ainda aprovada, por um pedido de vista do presidente da Anatel, Leonardo Euler. Mas há alguns indícios do que e pode esperar por esta regulamentação.
A minuta que foi elaborada pela área técnica veio antes da publicação da Norma 4 do GSI, em março desse ano, que estabeleceu uma série de requisitos de segurança para as redes e não impôs o banimento de nenhum fornecedor. Apenas estabelece que as operadoras tenham mais de um fornecedor nos sistemas das redes de 5G. Isso não quer dizer, contudo, que as normas do GSI não tenham reflexos sobre a Anatel. A agência precisará ainda normatizar os requisitos, e segundo a proposta do conselheiro Moisés Moreira, isso poderá ser feito por meio do trabalho do GT-Ciber, um grupo com a participação da Anatel, operadoras e associações setoriais. Moreira quer assegurar que a regulamentação siga princípios gerais, inclusive os previstos pela política nacional, mas deixando os pormenores para serem normatizados depois de avaliação do GT. Não há, na proposta da Anatel, nenhum tipo de restrição a qualquer tipo de fornecedor, apenas a previsão de que os equipamentos adotados pelas operadoras adquiram "equipamentos de fornecedores que também possuam uma política de segurança cibernética e realizem processo de auditoria independente periódico".
"Os documentos do GSI preveem requisitos específicos de operação de rede, que embora não estejam expressamente previstos na proposta, são de alguma forma abarcados nela por meio de ferramentas que permitem provocar uma mudança de conduta, caso necessário", escreve Moreira. "Vale ressaltar que segurança no ambiente cibernético é algo extremamente dinâmico e complexo, envolvendo uma diversidade de atores que interagem com as redes de telecomunicações, não se limitando a prestadoras e fabricantes. A Recomendação nº 1051 da União Internacional de Telecomunicações – UIT ( https://www.itu.int/rec/T-REC-X.1051-201604-I/en ), anexada à presente Análise, dá um panorama da complexidade dessa cadeia, abordando todos os aspectos de segurança que uma prestadora de telecomunicações deve observar", explica.
"Dessa forma, julgo que o estabelecimento de requisitos técnicos em regulamentos ou instrumentos de rigidez similar não é a abordagem mais adequada. A proposta de regulamento, como dito, não contraria ou impede a adoção destas ou de outras medidas. Nessa linha, a proposta em análise endereça a abordagem e tratamento dos requisitos técnicos, como os tratados nos referidos documentos oriundos do GSI ao grupo de trabalho que está sendo criado e que abordarei mais detalhadamente adiante", escreve o relator, mantendo o regulamento restrito a aspectos principiológicos.
Mas o regulamento em debate prevê, por exemplo, que todas as operadoras tenham políticas claras e públicas de segurança cibernética com auditoria externa, elaborem plano de ação, façam o mapeamento de riscos e a hierarquia de prioridades no funcionamento das redes entre outras políticas amplas, como a adoção do princípio de "secure by design". A Anatel leva em consideração em sua proposta também algumas diretrizes da UIT sobre o tema.