Segurança Cibernética
Segurança Cibernética é definida como “ações voltadas para a segurança de operações, de forma a garantir que os sistemas de informação sejam capazes de resistir a eventos no espaço cibernético capazes de comprometer a disponibilidade, a integridade, a confidencialidade e a autenticidade dos dados armazenados, processados ou transmitidos e dos serviços que esses sistemas ofereçam ou tornem acessíveis”, nos termos do Glossário de Segurança da Informação elaborado pelo Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República (GSI/PR).
A temática de segurança cibernética é abordada em diversos normativos no Brasil, sob diversos enfoques e competências. As competências da Agência quanto ao tema são definidas pela Lei Geral de Telecomunicações (LGT) - Lei nº 9.472, de 16 de Julho de 1997 e por outras políticas públicas, conforme segue abaixo.
- Estratégia Brasileira para a Transformação Digital
Aprovada pela Portaria do então Ministério das Ciência, Tecnologia, Inovações e Comunicações (MCTIC) nº 1.556/2018, a Estratégia Brasileira para a Transformação Digital (E-Digital) ofereceu um diagnóstico sobre os desafios da transformação digital da sociedade brasileira e estabeleceu as ações estratégicas para a concretização da visão de futuro que ela apresentou, identificando a confiança no ambiente digital como um dos seus eixos, e está focada em duas áreas: a) proteção de direitos e privacidade; e b) defesa e segurança no ambiente digital.
Quanto a defesa e à segurança no ambiente digital, a E-Digital apresentou as oito ações estratégicas:
1. Editar uma política nacional de segurança cibernética, incluindo a definição de uma instância nacional responsável pela articulação de um sistema nacional de segurança cibernética, envolvendo os setores público e privado;
2. Consolidar o marco legal de segurança cibernética, harmonizando as disposições de direito penal e processual já existentes na legislação brasileira e avançando na previsão de novos instrumentos de investigação para o mundo digital;
3. Elaborar planos nacional e subnacionais de prevenção, resposta a incidentes e mitigação de ameaças cibernéticas, inclusive no âmbito de infraestruturas críticas;
4. Estabelecer mecanismos de cooperação entre entes governamentais, entes federados e setor privado com vistas à adoção de melhores práticas, compartilhamento de informações, adoção de padrões adequados de segurança, coordenação de resposta a incidentes e proteção da infraestrutura crítica;
5. Treinar agentes públicos em segurança e mitigação de riscos cibernéticos e desenvolver parcerias para o treinamento de recursos humanos do setor privado;
6. Realizar campanhas educacionais amplas para expandir a conscientização da população sobre o tema da segurança da informação;
7. Formar recursos humanos especializados e investir em pesquisa e desenvolvimento na área de defesa e segurança cibernética, com vistas a promover a autonomia tecnológica nacional em termos de competências e produtos; e
8. Reforçar instrumentos de cooperação internacional entre autoridades e entre provedores de acesso e conteúdo atuantes em diferentes países, de maneira a garantir a aplicação da lei no ambiente digital, especialmente, nos casos em que o caráter transnacional das ameaças e crimes cibernéticos força o envolvimento de mais de uma jurisdição.
O Ministério da Ciência, Tecnologia e Inovações, na Portaria nº 6.543, de 16 de novembro de 2022, aprovou a atualização da E-Digital para o ciclo 2022-2026. A E-Digital Ciclo 2022-206 manteve a confiança no ambiente digital como um dos seus eixos, alicerçada tanto na proteção de direitos e privacidade, quanto na defesa e segurança no ambiente digital.
Como ações estratégicas do eixo de confiança no ambiente digital, a E-Digital Ciclo 2022-2026 definiu quatorze ações, dentre as quais se destaca:
1. Promover, por meio da Rede Federal de Gestão de Incidentes Cibernéticos (ReGIC), mecanismos de cooperação e de compartilhamento de informações entre instituições públicas e privadas para prevenção, tratamento e resposta a incidentes cibernéticos, de modo a elevar o nível de resiliência em segurança cibernética de seus ativos de informação;
2. Editar uma política nacional de segurança cibernética, incluindo a definição de uma instância nacional responsável pela articulação de um sistema nacional de segurança cibernética, envolvendo os setores público e privado;
3. Fortalecer o ecossistema de segurança cibernética do País, por meio da criação de um conselho nacional no âmbito de uma política nacional de segurança cibernética, com a participação do poder público e de representantes da sociedade envolvidos com segurança cibernética, a fim de aumentar a resiliência da segurança cibernética da sociedade e da economia como um todo;
4. Editar planos nacionais e subnacionais de prevenção, tratamento e resposta a incidentes cibernéticos, inclusive no âmbito de infraestruturas críticas;
5. Fomentar campanhas educacionais amplas para expandir a conscientização da população sobre o tema da segurança da informação; e
6. Consolidar o marco legal sobre crimes cibernéticos, harmonizando as disposições de direito penal e processual já existentes na legislação brasileira e avançando na previsão de novos instrumentos de investigação para o mundo digital.
- Política Nacional de Segurança da Informação
Concretizando uma das ações estratégicas apontadas na E-Digital, em 2018, foi promulgada a Política Nacional de Segurança da Informação (PNSI), aprovada pelo Decreto n º 9.637/2018. A PNSI foi instituída no âmbito de toda administração pública federal e abrange segurança cibernética; defesa cibernética; segurança física e a proteção de dados organizacionais; e ações destinadas a assegurar a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação.
A PNSI é operacionalizada pela Estratégia Nacional de Segurança da Informação (ENSI) e pelos planos nacionais. Por sua vez, a ENSI será construída em módulos, contendo as ações estratégicas e os objetivos relacionados à segurança da informação, em consonância com as políticas públicas e os programas do Governo federal. Os módulos irão tratar sobre segurança cibernética; defesa cibernética; segurança das infraestruturas críticas; segurança da informação sigilosa; e proteção contra vazamento de dados.
- Estratégia Nacional de Segurança Cibernética
Em atendimento à PNSI, o primeiro módulo da ENSI foi entregue à sociedade brasileira com a aprovação da Estratégia Nacional de Segurança Cibernética (E-Ciber), Decreto n º 10.222, de 5 de fevereiro de 2020. A E-Ciber representa a visão do Governo Federal de tornar o Brasil um país de excelência em segurança cibernética, apresentando as principais ações nacionais e internacionais, para o quadriênio 2020 a 2023.
A E-Ciber estabeleceu três objetivos estratégicos que norteiam dez ações estratégicas, que se desdobram em iniciativas, medidas e ações que podem ser adotadas para o alcance da visão estabelecida. Cabe, assim aos órgãos e entidades da administração pública federal, no âmbito de suas competências, as gestões que possibilitem a implementação das ações estratégicas previstas na E-Ciber.
Os três Objetivos Estratégicos são:
- tornar o Brasil mais próspero e confiável no ambiente digital;
- aumentar a resiliência brasileira às ameaças cibernéticas; e
- o fortalecer a atuação brasileira em segurança cibernética no cenário internacional.
Já as dez Ações Estratégicas são:
1. Fortalecer as ações de governança cibernética;
2. Estabelecer um modelo centralizado de governança no âmbito nacional;
3. Promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade;
4. Elevar o nível de proteção do Governo;
5. Elevar o nível de proteção das Infraestruturas Críticas Nacionais;
6. Aprimorar o arcabouço legal sobre segurança cibernética;
7. Incentivar a concepção de soluções inovadoras em segurança cibernética;
8. Ampliar a cooperação internacional do Brasil em Segurança cibernética;
9. Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade; e
10. Elevar o nível de maturidade da sociedade em segurança cibernética.
Além disso, a E-Ciber aborda, especificamente, o papel das agências reguladoras quanto ao setor regulado e à proteção de infraestruturas críticas. A E-Ciber destaca as seguintes medidas de estímulo à adoção de procedimentos de segurança cibernética que podem ser adotadas pelas agências reguladoras:
- criação de uma estrutura de governança de segurança cibernética nas empresas de infraestruturas críticas, com o estabelecimento de manuais, diretrizes, classificações e procedimentos para tratamento de incidentes, e de regras de segurança aplicáveis a todos os funcionários, terceirizados e fornecedores;
- inserção de planos anuais de auditoria externa em segurança cibernética;
- adoção de práticas e de requisitos de segurança cibernética no desenvolvimento de novos produtos, programas, projetos e ações;
- criação de Grupos de Resposta a Incidentes de Segurança em Computadores (CSIRTs, na sigla em inglês) por empresa e por setor, com mecanismos de colaboração e de troca de informações entre eles;
- capacitação contínua de seus colaboradores em todos os níveis;
- notificação ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov), no menor prazo possível, sobre a ocorrência de incidentes cibernéticos;
- comunicação aos consumidores em caso de incidente que comprometa a segurança de seus dados, nos termos da legislação em vigor;
- promoção de campanhas de conscientização sobre a importância de atitudes e de cuidados por parte dos usuários;
- exigência de que fornecedores de equipamentos, de programas computacionais e de serviços adotem os níveis de segurança cibernética recomendados pelos organismos de padronização nacionais e internacionais; e
- previsão de elaboração de planos de resposta a incidentes e de recuperação dos ambientes críticos que podem ser impactados pelos incidentes cibernéticos.
Dessa forma, considerando as suas competências legais e as políticas públicas governamentais, a Agência editou o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740/2020.
Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações
O estudo sobre a regulamentação de segurança das redes de telecomunicações foi incluído como item 58 da Agenda Regulatória da Agência para biênio 2017 – 2018, cujo processo de elaboração da Análise de Impacto Regulatório (AIR) contou com tomada de subsídio de diversos atores. Também foi realizada a Consulta Pública nº 52, iniciada no final de 2018 e aberta por mais de 60 dias, para recebimento de contribuições da sociedade. A Agenda Regulatória 2019 – 2020 manteve a prioridade do assunto, sendo contemplado no seu item 8, o que levou a aprovação do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, no final de 2020.
Embora o processo de construção do normativo tenha iniciado antes da elaboração e aprovação da Estratégia Nacional de Segurança Cibernética (E-Ciber), as previsões regulamentares já nasceram alinhadas à Estratégia. A proposta de regulamento ainda passou por revisão final do Conselho Diretor da Anatel, para garantir que estivesse de acordo com as políticas públicas estabelecidas.
Princípios e diretrizes
O Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações estabeleceu, em seu art. 4º,os seguintes princípios:
- autenticidade;
- confidencialidade;
- disponibilidade;
- diversidade;
- integridade;
- interoperabilidade;
- prioridade;
- responsabilidade; e
- transparência.
Já as diretrizes foram estabelecidas pelo art.5º, são elas:
- adoção de boas práticas e normal internacionais referentes à segurança cibernética;
- disseminação da cultura de segurança cibernética;
- a utilização segura e sustentável das redes e serviços de telecomunicações;
- identificação, proteção, diagnóstico, resposta e recuperação de incidentes de segurança cibernética;
- cooperação entre os diversos agentes envolvidos com fins de mitigação dos riscos cibernéticos;
- respeito e promoção dos direitos humanos e das garantias fundamentais, em especial a liberdade de expressão, a proteção de dados pessoais, a proteção da privacidade e o acesso à informação do usuário dos serviços de telecomunicações; e
- incentivo à adoção de conceitos de security by design e privacy by design no desenvolvimento e aquisição de produtos e serviços no setor de telecomunicações.
Os princípios e diretrizes aplicam-se a todas as prestadoras dos serviços de telecomunicações, de interesse coletivo ou restrito, independentemente do porte. Já as demais disposições aplicam-se a todas as prestadoras dos serviços de telecomunicações de interesse coletivo, ressalvadas as de Prestadoras de Serviços de Telecomunicações de Pequeno Porte (PPP).
Obrigações
O Regulamento traz, sem prejuízo da adoção outras medidas necessárias, as seguintes obrigações:
- a elaboração, manutenção e implementação de uma Política de Segurança Cibernética;
- a publicação pela prestadora na sua página na Internet, com linguagem compreensível, de extrato da sua Política de Segurança Cibernética;
- a apresentação à Anatel, anual ou sempre que solicitado, de relatório sobre o acompanhamento de execução da Política de Segurança Cibernética;
- a utilização, pelas prestadoras, de fornecedores que possuam política de segurança cibernética compatíveis com os princípios e diretrizes dispostos neste Regulamento e que realizem processos de auditoria independente periódicos, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações;
- a alteração da configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários;
- a notificação da Agência e comunicação às demais prestadoras e aos usuários, conforme o caso e sem prejuízo de outras obrigações legais de comunicação, dos incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários;
- a adoção pelas prestadoras de procedimento de compartilhamento de informações sobre incidentes relevante;
- a realização de ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética; e
- o envio à Anatel de informações sobre suas Infraestruturas Críticas de Telecomunicações.
Governança
O Regulamento também estabelece um modelo de governança no âmbito da Agência, por meio do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber). Esse grupo tem uma série de obrigações relacionadas ao acompanhamento da Política de Segurança Cibernética e Gestão de Infraestrutura Crítica; à configuração de equipamentos, requisitos técnicos e fornecedores; ao compartilhamento de informações e boas práticas, bem como à conscientização, capacitação, estudos e interação com as Comissões Brasileiras de Comunicações (CBCs).
O GT-Ciber é Coordenado pelo Superintendente de Controle de Obrigações, designado pela Portaria Anatel nº 1.878, de 30 de dezembro de 2020, e conta com a participação na plenária das prestadoras detentoras Poder de Mercado Significativo (PMS), assim como uma entidade representando as PPPs. Além disso, o grupo poderá contar com a participação de convidados, a depender da temática a ser discutida.
Quanto a estrutura, o GT-Ciber é composto pelos quatro Subgrupos Técnicos, conforme organograma abaixo:
As reuniões dos Subgrupos Técnicos do GT-Ciber contam com uma participação diversificada, entre eles, destacam-se o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), as associações representativas e academia.
As apresentações e registros das Reuniões da Plenária do GT-Ciber, bem como as decisões são públicas e podem ser consultadas no Processo SEI nº 53500.009419/2021-95.
Durante 2021, grande parte dos esforços do GT-Ciber foi destinada à elaboração das definições complementares necessárias à implementação do R-Ciber. Desde a sua instituição, a Anatel publicou, fruto dos trabalhos do GT-Ciber, as seguintes decisões:
- Despacho Decisório nº 20/2021/COQL/SCO, que trata da obrigação das prestadoras relacionada à publicação, na sua página na Internet, do extrato da Política de Segurança Cibernética;
- Despacho Decisório nº 48/2021/COQL/SCO, que trata da obrigação das prestadoras relacionada à alteração da configuração padrão de autenticação dos equipamentos fornecidos em regime de comodato aos seus usuários, nos termos do anexo;
- Despacho Decisório nº 49/2021/COQL/SCO, que trata da obrigação das prestadoras relacionada à notificação da Agência e comunicação às demais prestadoras e aos usuários sobre os incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários
- Despacho Decisório nº 58/2021/COQL/SCO, que trata da obrigação das prestadoras de realização de ciclos de avaliação de vulnerabilidades relacionadas à Segurança Cibernética;
- Despacho Decisório nº 61/2021/COQL/SCO, que trata da obrigação das prestadoras de enviar à Anatel informações sobre suas Infraestruturas Críticas de Telecomunicações;
- Despacho Decisório nº 68/2022/COQL/SCO, que trata da obrigação das prestadoras de apresentar relatório sobre o acompanhamento de execução da Política de Segurança Cibernética;
- Despacho Decisório nº 69/2022/COQL/SCO, que trata da obrigação das prestadoras relacionada à notificação de incidentes;
- Despacho Decisório nº 152/2022/COQL/SCO, que aprova o Plano Setorial de Gestão de Incidentes Cibernéticos – Versão 1.0;
- Despacho Decisório nº 16/2023/COQL/SCO, que trata da obrigação das prestadoras relacionada à utilização, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética compatíveis com os princípios e diretrizes dispostos no R-Ciber e que realizam processos de auditoria independente periódicos, nos termos do anexo; e
- Despacho Decisório nº 18/2023/COQL/SCO, que aprova o Guia Orientativo de Segurança Cibernética para Prestadoras de Serviços de Telecomunicações - Nível Básico e o DevSecOps: Guia Orientativo.
Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações
Logo após a edição do Regulamento, a Agência deu mais um passo para promover a segurança cibernética do setor, em 5 de janeiro de 2021, com a aprovação dos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações por meio do Ato nº 77 da Superintendência de Outorga e Recursos à Prestação (SOR).
A proposta de Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações passou por Consulta Pública por 60 dias e recebeu centenas de contribuições. Indústria, laboratórios de ensaio e especialistas também participaram da elaboração do texto. Ainda, foram utilizadas referências internacionais das seguintes organizações: Organização para a Cooperação e o Desenvolvimento Econômico (OCDE), Institute of Electrical and Electronic Engineers (IEEE) , Internet Engineering Task Force (IETF), European Union Agency for Cybersecurity (ENISA), Grupo de Operadores de Redes da América Latina e o Caribe (LACNOG) e Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG); e GSM Association (GSMA).
À Agência compete realizar a certificação e homologação de equipamentos para telecomunicações, desde aqueles mais simples, como sensores com interfaces de comunicação sem fio, até aqueles mais complexos, como equipamentos de núcleo de rede de operadoras. Um dos princípios dessa atividade de homologação é a proteção e a segurança dos usuários desses produtos.
Historicamente essa avaliação quanto à segurança é focada na segurança elétrica, na compatibilidade eletromagnética e na medição de níveis seguros de radiação não ionizante. Contudo, nos últimos tempos, foi adicionado ao conceito de segurança dos produtos a dimensão da segurança cibernética.
Programa de Supervisão de Mercado
A Agência optou por acompanhar a segurança dos equipamentos de telecomunicações por meio de um Programa de Supervisão de Mercado no qual os produtos disponibilizados ao consumidor são constantemente monitorados pela Agência. Isso se deve ao conjunto de recomendações baseadas em boas práticas, considerando o contexto de novas ameaças cibernéticas, no qual novas vulnerabilidades em produtos são descobertas a cada dia.
Neste modelo de atuação, os requisitos não serão avaliados no ato de certificação e homologação dos equipamentos mas sim durante o período que estão disponíveis ao mercado consumidor.
Nesta supervisão do mercado, a Anatel pretende atuar de duas formas:
- contínua, na qual produtos homologados serão coletados no mercado e avaliados quanto a sua segurança; e
- respondendo aos casos em que chegue ao conhecimento da Agência que determinado produto possui falhas de segurança cibernética.
Caso identificada qualquer falha ou vulnerabilidade que coloque em risco a segurança dos usuários ou que ameacem a integridade das redes de telecomunicações, o produto terá sua homologação suspensa até que o problema seja sanado. É importante lembrar que a suspensão da homologação impede que o produto seja distribuído no mercado nacional.
O Ato da Agência contempla, também, recomendações aos fabricantes/fornecedores de produtos para telecomunicações, tais como:
- possuir uma política clara de suporte/atualização do produto;
- disponibilizar canal de para reportar vulnerabilidades de segurança identificadas; e
- possuir implementados processos de Divulgação Coordenada de Vulnerabilidades.
Por fim, o objetivo do estabelecimento dos requisitos em conjunto com a criação de um Programa de Supervisão de Mercado visa:
- estimular que fabricantes desenvolvam seus produtos pensando na segurança desde sua concepção (security by design);
- monitorar o mercado em busca de produtos inseguros;
- garantir que fabricantes implementem correções de falhas/vulnerabilidades identificadas; e
- impedir que equipamentos inseguros sejam comercializados.
Dessa forma, os requisitos e o Programa de Supervisão de Mercado contribuem para aumentar a segurança para os consumidores e as redes de telecomunicações.
O amadurecimento das discussões relacionadas à certificação de produtos no âmbito do Subgrupo Técnico de Equipamentos, Fornecedores e Requisitos do GT-Ciber resultou na aprovação do Ato nº 2.436, de 7 de março de 2023, da Superintendência de Outorga e Recursos à Prestação da Agência.
O Ato aprova os requisitos mínimos mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE (Customer Premises Equipment), abrangendo os seguintes equipamentos CPE de uso do público em geral empregados para conectar assinantes à rede do provedor de serviços de Internet:
- Cable modem;
- Modem xDSL;
- ONU, ONT;
- Roteador ou modem destinados ao acesso fixo sem fio (FWA - Fixed Wireless Acess);
- Roteador ou modem destinados ao acesso fixo à banda larga via satélite; e
- Roteador ou ponto de acesso sem fio.
O Ato contempla requisitos para senhas providas de fábrica e senhas definidas pelo usuário; bem como outros requisitos de segurança cibernética do equipamento e requisitos que devem ser atendidos pelos fornecedores dos equipamentos.
O principal objetivo do Ato nº 2.436, de 7 de março de 2023, é endereçar vulnerabilidades já conhecidas em equipamentos CPEs, como o uso de senhas padrão (senhas de fábrica iguais entre todos os dispositivos fabricados) e a existência de portas e protocolos de comunicação ativados desnecessariamente, o que aumenta a superfície de ataque nesses equipamentos.
Conscientização
Além de promover a segurança das redes de telecomunicações via regulamentação e também com os Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, a conscientização de toda sociedade é fundamental para a construção de uma cultura de segurança cibernética, um dos objetivos da E-Ciber.
Nesse sentido, a Anatel também promove ações de conscientização junto aos usuários dos serviços, como a campanha educativa #ConexãoSegura e o Movimento #FiqueEsperto. Confira as dicas de segurança cibernética e de proteção de dados pessoais em https://www.gov.br/anatel/pt-br/consumidor/destaques/conexaosegura-confira-dicas-para-proteger-dados-pessoais e https://fe.seg.br/.
Destaca-se a publicação de materiais específicos sobre a proteção de crianças e adolescentes no ambiente digital, com diretrizes para a indústria, formuladores de políticas públicas, educadores e pais, além de materiais para professores trabalharem esses temas em sala de aula e livro para as crianças.
Contato do GT-Ciber
O GT-Ciber criou um canal exclusivo de atendimento à sociedade e ao setor de telecomunicações. Dúvidas, sugestões e comentários somente sobre o GT-Ciber ou sobre o R-Ciber podem ser encaminhados para gtciber@anatel.gov.br. Para denúncias, reclamações ou pedidos de informação, utilize os canais de atendimento da Agência.