A partir de 26 de novembro, a Agência Nacional de Telecomunicações (Anatel) exigirá a comprovação de auditorias de segurança cibernética em equipamentos de telecomunicações. Esta medida, conforme o Ato nº 16417 de 22 de novembro de 2024, visa garantir que fornecedores de produtos e equipamentos de telecomunicações para Prestadoras de Serviços de Telecomunicações cumpram diretrizes específicas de segurança.
De acordo com informações da Anatel, as auditorias devem ser realizadas por Organismos de Certificação Designados (OCD) reconhecidos pela agência ou por instituições acreditadas por organismos internacionais de certificação. Os fornecedores são responsáveis por apresentar às prestadoras os atestados de conformidade emitidos por essas entidades, comprovando a aderência aos requisitos estabelecidos.
Diretrizes de Auditoria
As diretrizes de auditoria foram desenvolvidas pelo Subgrupo Técnico de Equipamentos, Fornecedores e Requisitos do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber). Este subgrupo conta com cerca de 160 integrantes, incluindo representantes de prestadoras de serviços, indústria, academia, centros de pesquisa, laboratórios de ensaio e servidores da Anatel.
As diretrizes devem ser aplicadas em conjunto com a Política de Segurança Cibernética aprovada pelo Despacho Decisório nº 16/2023/COQL/SCO. A avaliação de auditoria abrange o processo de manufatura do fabricante e seus controles internos, devendo ser baseada em documentação ou evidências emitidas pelo fabricante.
Os princípios a serem adotados incluem “Security by design”, que envolve o uso de ferramentas automatizadas para análise de códigos e tratamento de vulnerabilidades; “Security by default”, que assegura a proteção de senhas e documentação de comunicações; e “Privacy by design”, que garante métodos adequados de criptografia para dados sensíveis. Além disso, é necessária a adoção de políticas claras de suporte e atualizações de segurança, bem como a divulgação coordenada de vulnerabilidades.
Mais informações estão disponíveis no portal da Anatel: https://www.gov.br/anatel/pt-br/assuntos/seguranca-cibernetica.