Anatel define requisitos mínimos para segurança cibernética em produtos

Quando você compra um produto eletrônico atualmente nas prateleiras, o que garante a você que aquele item atende às exigências mínimas de segurança cibernética? Afinal, o que adianta o consumidor se proteger se as companhias não cumprirem sua parte? É por isso mesmo que a Agência Nacional de Telecomunicações (Anatel) agora possui requisitos mínimos de segurança mínima no Brasil.

• Anatel publica lista de empresas que mais abusam de ligações de telemarketing
• Anatel determina o bloqueio de 5 milhões de transmissões piratas no país

A partir de março de 2024, os produtos que não atenderem às exigências básicas da Anatel para segurança cibernética não poderão ser homologados no país como equipamentos do tipo CPE (Customer Premises Equipamento) comercializados no Brasil. Segundo a agência, o prazo estabelecido é tempo suficiente para que fabricantes nacionais e importadores possam ajustar seus processos produtivos e de aquisição de dispositivos.

Quais são os requisitos mínimos da Anatel para segurança cibernética?

De acordo com constam no Ato 2.436/2023, do dia 7 de março de 2023, a Anatel determina que o “instrumento visa tratar vulnerabilidades comuns nesta categoria de equipamentos, tais como as senhas padrão (iguais entre todas as unidades fabricadas) e a presença de portas/serviços de comunicação habilitados desnecessariamente, o que aumenta a superfície de ataque que pode ser explorada por agentes maliciosos”.

Ou seja, o dispositivo não podem vir com “senhas fracas” de fábrica. Exemplo disso são mesmas credenciais para um mesmo item ou em branco. As senhas definidas pelos usuários não poderão ser em branco ou consideradas “fracas”. O manual do produto, seja físico ou digital, deverá informar as quantidades mínima e máxima de caracteres permitidas, assim como as diretrizes para criação da combinação.

Os aparelhos deverão ter mecanismos de defesa contra a chamada “invasão de força bruta”, aquelas em que os cibercriminosos conseguem a senha por meio de tentativas persistentes; e também rotinas de encerramento automático para sessões inativas.

Os produtos também não podem ser usados com credenciais, senhas e chaves criptografadas definidas no próprio código fonte do software/firmware que não podem ser alteradas. E as senhas devem ser armazenadas e transmitidas com uso de criptografia ou hashing. Além disso, devem oferecer de forma clara aos usuários a possibilidade de desabilitar funções e serviços de comunicação não essenciais à operação.

Para completar, os fabricantes e os fornecedores de CPEs devem ter políticas claras de suporte ao produto, além de disponibilizar gratuitamente atualizações de segurança e manter canais de notificação de vulnerabilidades descobertas por usuários ou especialistas. Todos os requisitos da Anatel para a homologação de segurança cibernética de equipamentos podem ser vistos na página do Ato 2.436/2023, do dia 7 de março de 2023.

Fonte: Anatel