Andrey Vilas Boas de Freitas
Mariana Piccoli Lins Cavalcanti
Alessandro Guimarães Pereira
Coerente à Estratégia Nacional de Segurança Cibernética (E-Ciber), regida pelo Decreto nº 10.222/2020, a Anatel editou a Resolução Normativa nº 740/2020, que contém o R-Ciber, regulamento que estabelece condutas e procedimentos para promoção da segurança nas redes e serviços de telecomunicações, incluindo a segurança cibernética e a proteção das infraestruturas críticas de telecomunicações.
Alguns dispositivos do R-Ciber aplicam-se a todas as prestadoras de serviços de telecomunicações de interesse coletivo, independentemente de seu porte, havendo, todavia, artigos que não alcançam os Prestadores de Pequeno Porte (PPP). São os artigos 6º ao 11º, os quais, resumidamente, definem as seguintes obrigações às prestadoras:
Art. 6º: elaborar, implementar e manter uma Política de Segurança Cibernética;
Art. 7º: utilizar produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética compatíveis com o R-Ciber;
Art. 8º: alterar a configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários;
Art. 9: notificar a Agência e comunicar as demais prestadoras e aos usuários incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários;
Art. 10: realizar ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética;
Art. 11: enviar à Anatel informações sobre suas Infraestruturas Críticas de Telecomunicações.
Por meio da recente Consulta Pública nº 63/2021, a Anatel propôs Instrução Normativa visando a ampliar a incidência destes artigos aos PPP e, assim, alcançar empresas que, independentemente de seu porte, detenham infraestruturas críticas de telecomunicações e incrementar o enforcement do Ato Anatel nº 77/2020, o qual define requisitos de segurança cibernética para equipamentos para telecomunicações e que possui recomendações não mandatórias de segurança cibernética.
A ampliação proposta baseia-se na premissa de que as infraestruturas, sistemas e equipamentos utilizados tanto por grandes empresas como pelos PPP são similares e amplamente conectados, já que incidentes cibernéticos ocasionados por quaisquer agentes podem resultar em danos sistêmicos.
A ampliação do alcance do R-Ciber aos PPP ocorrerá, todavia, de forma distinta, a depender dos tipos de infraestrutura que detém e dos mercados em que atuam. Os PPP que possuem infraestruturas críticas, como redes próprias para SMP, de suporte para transporte de tráfego interestadual e cabos submarinos com destino internacional[1] deverão cumprir as exigências dos artigos 6º a 11, igualando-se, portanto, às grandes empresas do setor, detentoras de Poder de Mercado Significativo (PMS).
Já as empresas que, dentre os PPP, são de menor porte, como os típicos ISP[2] que operam localmente e que não possuem infraestruturas críticas, deverão submeter-se apenas ao artigo 8º do R-Ciber, o qual exige a alteração na configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários, como os modens de acesso à banda larga e as antenas wifi. Por tal exigência, estes pequenos agentes deverão alterar as configurações de fábrica[3] dos equipamentos antes de entregá-los aos usuários, ampliando os códigos e protocolos de segurança neles inseridos. Igualmente, os aparelhos já instalados aos seus clientes também deverão ser atualizados.
Resta claro que esta exigência tem o condão de reduzir inúmeros incidentes cibernéticos com potencial de danos sistêmicos e ao usuário final, sendo este último um alvo constante de invasões por crackers[4] às suas informações e aplicações pessoais e financeiras, resultando em golpes e ampliando a desconfiança quanto à segurança das redes em geral. A própria Anatel bem explica:
“nestes equipamentos é comum que a configuração realizada pelos fabricantes, ou até mesmo pelo instalador, utilize credenciais (usuário e senha) padrão conhecidas ou facilmente identificáveis por atacantes. Pelo domínio ou acesso pelo atacante a estes equipamentos é possível realizar ataques à toda a rede de suporte de serviços, tais como Distributed Denial of Service (DDoS) ou alteração do cache de Domain Name System (DNS), possibilitando o redirecionamento de usuários para sites falsos onde são realizados o phishing de senhas de acesso ou a coleta de informações relevantes dos usuários.”[5]
Contudo, não se pode esquecer de que os PPP de menor porte atendem a franjas do mercado, principalmente em banda larga fixa por fibra ótica, em áreas periféricas de grandes cidades e municípios menores. Sua competitividade é ditada por sua capilaridade e pelos seus menores custos operacionais. Assim, em tese, o aumento das exigências de segurança cibernética aos equipamentos que venha a instalar e àqueles já em operação pode significar um aumento de seus custos, à medida em que será necessário o emprego de adicional de mão de obra e o investimento em sistemas para reduzir vulnerabilidades dos equipamentos que ofertam em comodato.
Tal preocupação, todavia, deve ser ponderada à luz dos benefícios sistêmicos – inclusive econômicos – que estas melhorias de segurança tendem a gerar tanto no médio quanto no longo prazo. A redução de incidentes cibernéticos favorece modelos de competição mais equânimes e com menor margem a free riders, reduz os imprevistos operacionais das próprias empresas e estimula à inovação de produtos e serviços. Favorece também a ampliação da percepção, pelo consumidor, de que produtos e serviços ofertados por estes agentes menores e menos conhecidos podem ter qualidade e segurança compatíveis, ou mesmo superiores, aos grandes agentes do mercado.
Desta forma, a ampliação do R-Ciber aos PPP pode, ao fim, representar uma redução de custos de transação a todos os agentes, à medida que diminuem os incidentes de segurança cibernética, minorando a necessidade de atendimentos e resolução de incidentes causados graças a vulnerabilidades do tipo ‘senhas fracas’, ‘acessos não autorizados’ ou ‘ausência de credenciais’, os quais têm grande potencial de danos econômicos.
Assim, a ampliação regulamentar proposta na Consulta Pública, se corretamente dosada – permitindo-se inclusive um vacatio legis adequado à adaptação destes agentes – é oportuna. Fundamental, neste sentido, que a Anatel aprecie as contribuições trazidas por empresas e associações especializadas, as quais vêm sistematicamente enriquecendo os debates sobre o ambiente concorrencial em mercados de telecomunicações.
Como já vem sustentando a Secretaria de Acompanhamento Econômico, Advocacia da Concorrência e Competividade do Ministério da Economia, são mercados que demandam ações regulatórias efetivas, mas discretas, permitindo o alcance de objetivos importantes sem ampliar desnecessariamente o seu ônus regulatório: a busca deste equilíbrio exige diálogo constante com múltiplos agentes e um olhar multidimensional sobre seus impactos, notadamente à segurança, sem relaxar no necessário estímulo à competitividade.
[1] Como ilustra o seguinte estudo: VICHI, L.P., PINTO, D.J.A., de SÁ, A.L.N. A defesa da infraestrutura de cabos submarinos: por uma interface entre a defesa cibernética e a segurança marítima no Brasil. 2020. In: Revista Escola de Guerra Naval. Rio de Janeiro, v. 26, n. 2, p. 326-346. maio/agosto. 2020. pp. 333-334.
[2] Internet Services Provider (“ISP”) ou Provedor de Serviços de Internet, é uma empresa que fornece acesso à internet a usuários que a contratam, podendo agregar outras soluções, como hospedagem de sites, armazenamento na nuvem, serviços de telefonia e pacotes de streaming
[3] Como bem o explica o Cyber Security Policy Guidebook, “these out-of-the box digital identities are called “generic IDs” because they do not belong to any one person. Often, generic IDs remain configured with the default password supplied by the technology vendor for the entire lifetime of the product. These Ids are well known to criminal elements and are often used to impersonate technology administrators.” In: BAYUK, J. L, Healey J., Rohmeyer P., Sachs M., Schmidt J. , Weiss J.. 2012. Cyber Security Policy Guidebook (1st. ed.). Wiley Publishing.
[4] Os crackers são indivíduos que praticam a quebra de segurança de softwares de forma ilegal, agindo de forma criminosa.
[5] ANATEL. Informe nº 200/2021/COGE/SCO (Doc. SEI Anatel nº 7040861)
Andrey Vilas Boas de Freitas. É Subsecretário de Advocacia da Concorrência na Secretaria de Acompanhamento Econômico, Advocacia da Concorrência e Competitividade (SEAE) do Ministério da Economia
Mariana Piccoli Lins Cavalcanti. É Coordenadora-Geral de Inovação, Indústria de Rede e Saúde na Secretaria de Acompanhamento Econômico, Advocacia da Concorrência e Competitividade (SEAE) do Ministério da Economia
Alessandro Guimarães Pereira. É Coordenador de Inovação e Telecomunicações na Secretaria de Acompanhamento Econômico, Advocacia da Concorrência e Competitividade (SEAE) do Ministério da Economia