• PT/BR
  • ENG/US

Requisitos de Segurança Cibernética da Anatel (Ato 77/21)

  • 16/08/2021
  • José Afonso Pinto
  • Blog
  • Alto Contraste
  • +Aumentar fonte
  • -Diminuir fonte
Requisitos de Segurança Cibernética da Anatel (Ato 77/21)

Introdução

Nós do time de segurança cibernética do SiDi fazemos muitas avaliações de segurança de aplicativos/frameworks de plataformas móveis, aplicações/serviços web e dispositivos embarcados usando diversas bases de requisitos de segurança, tais como a OWASP Top 10 ou o OWASP Mobile Security Testing Guide.

A aprovação, no início deste ano, de uma regulamentação da Anatel (Ato 77/21) definindo requisitos de segurança cibernética para equipamentos de telecomunicações vendidos no país nos deixou bastante curiosos.

Este blog post contém uma visão geral e uma breve discussão sobre o Ato 77/21 e seus requisitos.

Estamos planejando para logo um outro blog post para compartilhamos nossa experiência com um ensaio de avaliação de segurança de um dispositivo IoT baseada nesses requisitos da Anatel.

 

O Ato 77/21 da Anatel

Aprovado no começo de janeiro deste ano, o Ato nº 77 de 2021 da Agência Nacional de Telecomunicações (Anatel) estabelece requisitos de segurança cibernética para “equipamentos terminais com conexão à Internet e equipamentos de infraestrutura de redes de telecomunicações”.

Isso inclui não só equipamentos de rede tais como roteadores, gateways, firewalls e modems, mas também telefones celulares, computadores e dispositivos IoT tais como câmeras IP, babás eletrônicas, smart TVs, smart speakers e hubs IoT.

O objetivo principal do ato é induzir fornecedores desses equipamentos a “minimizar ou corrigir vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações”, ajudando a proteger a segurança da infraestrutura de telecomunicações do país e seus usuários.

O Ato 77/21 e o GT-Ciber

Pelo menos a princípio, o atendimento aos requisitos do Ato 77/21 não é mandatório.

A definição de quais requisitos do ato serão mandatórios para os diversos tipos de equipamentos homologados pela Anatel ainda depende de propostas de regulamentação adicional a serem feitas e submetidas ao Conselho Diretor da agência pelo recém-criado Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber).

O GT-Ciber é coordenado pela Anatel e composto por representantes de operadoras de serviços de telecomunicações, fabricantes de equipamentos e várias outras organizações interessadas, incluindo o SiDi.

Uma das atribuições do GT-Ciber é elaborar estudos e propor “procedimentos de avaliação da conformidade e homologação de produtos para telecomunicações”, o que inclui procedimentos técnicos necessários para a avaliação de conformidade de produtos ao Ato 77/21.

O resultado desse trabalho do GT-Ciber da Anatel é essencial para que os fabricantes de equipamentos possam ter a clareza mínima necessária para atender efetivamente os requisitos regulamentados.

Declaração de Conformidade para Homologação

A partir do começo de julho, quando o ato entrou em vigor, a Anatel passou a exigir que pedidos de homologação de equipamentos para uso no Brasil incluam uma declaração sobre o atendimento, pelo equipamento e pelo fornecedor, aos requisitos de segurança do Ato 77/21.

O formulário oficial da Anatel para esta declaração, segundo a versão de 26/3/2021, acessada para a escrita deste artigo, oferece ao fornecedor apenas duas opções para cada um dos requisitos do ato:

  1. Afirmar que, sim, o produto/fornecedor atende ao requisito; ou,
  2. Justificar porque o requisito não se aplica ao produto/fornecedor.

Como estas declarações podem conter informações proprietárias e confidenciais dos fornecedores, elas não serão divulgadas pela Anatel junto com os certificados de homologação dos equipamentos.

Uma pena, pois estas declarações poderiam ser uma fonte de informação muito útil para os consumidores poderem saber, antes da compra, quais (e por quê) alguns dos requisitos de segurança da Anatel não se aplicam, segundo o fabricante, aos diversos produtos disponíveis no mercado.

De qualquer modo, uma divulgação voluntária dessas declarações pelo próprio fabricante poderia servir como um importante diferencial de marketing, demonstrando aos consumidores a transparência e o compromisso do fabricante em relação à segurança de seus produtos. Fica a dica!

Fiscalização por Supervisão de Mercado da Anatel

Após a homologação de um equipamento, a Anatel passa a fiscalizar o cumprimento dos requisitos do ato através do seu Programa de Supervisão de Mercado, que inclui a coleta contínua no mercado de produtos homologados para avaliação de segurança, e também a atuação ao tomar conhecimento de vulnerabilidades pendentes em produtos no mercado.

Um produto que tenha uma vulnerabilidade que coloque em risco a segurança de serviços de telecomunicações e seus usuários poderá ter sua homologação suspensa pela Anatel até que a vulnerabilidade seja resolvida.

Isso significa que vulnerabilidades críticas com correção pendente poderão causar a suspenção da distribuição do produto no mercado brasileiro até a resolução da pendência pelo fornecedor.

Visão Geral dos Requisitos de Segurança do Ato 77/21

O ato contém requisitos de segurança tanto para equipamentos quanto para fornecedores. Segue abaixo uma visão geral dos principais requisitos.

Requisitos para Equipamentos

Os requisitos para equipamentos são divididos nas diversas categorias a seguir:

Atualização de software/firmware

  • A atualização segura de software/firmware é requerida para correção de vulnerabilidades em campo.

Gerenciamento remoto

  • O gerenciamento remoto do equipamento requer o uso de mecanismos de controle de acesso adequados e seguros.

Instalação e operação

  • A configuração padrão de fábrica deve ser segura (secure defaults);
  • Inicialização segura (secure boot) do equipamento é requerida;
  • Monitoramento de anomalias no comportamento do software é requerido;
  • Registro em log de eventos relacionados à segurança é requerido.

Acesso para configuração do equipamento

  • Senhas iniciais de fábrica para configuração do equipamento precisam ser trocadas por senhas fortes pelo usuário no primeiro uso; e, não podem ser a mesma para todos os equipamentos, nem derivadas de informações de fácil obtenção tais como endereço MAC;
  • Software/firmware não pode conter senhas, credenciais e chaves criptográficas hardcoded;
  • Senhas, credenciais e chaves de acesso precisam ser adequadamente protegidas tanto em trânsito quanto no armazenamento.

Serviços de comunicação de dados

  • Uso de protocolos seguros para transmissão de dados é requerido;
  • São proibidas backdoors ou quaisquer funcionalidades não documentadas que permitam acesso, uso ou controle remoto do dispositivo pelo fabricante ou por terceiros para qualquer finalidade, inclusive testes ou suporte;
  • Comunicações não documentadas com o fabricante ou terceiros também são proibidas, inclusive para o envio de informações para análise de perfil de uso do equipamento (analytics);
  • Serviços de comunicação de dados não usuais precisam vir desabilitados por padrão de fábrica (secure defaults e minimização de superfície de ataque).

Dados pessoais e dados pessoais sensíveis

  • A transmissão e o armazenamento de dados sensíveis e pessoais precisam usar métodos adequados de criptografia;
  • Usuários precisam ser informados através de documentação sobre quais dados pessoais são coletados, utilizados e armazenados;
  • Usuários precisam poder apagar seus dados pessoais armazenados para descarte seguro do equipamento.

Capacidade de mitigar ataques

  • Equipamentos precisam prevenir e mitigar seu uso em ataques de negação de serviço suportando mecanismos tais como limitação da taxa de upload de dados, filtragem anti-spoofing de endereços IP, e mecanismos de contenção de grande volume de tentativas de autenticação recebidas sucessivamente.

Requisitos para Fornecedores

O Ato 77/21 da Anatel também inclui requisitos de segurança para os fornecedores dos equipamentos:

  • O fornecedor precisa garantir que o desenvolvimento do produto seguiu princípios de Security by Design, que são um conjunto de boas práticas de projeto de sistemas visando tornar segurança uma qualidade inerente ao produto final;
  • O fornecedor precisa ter uma política clara de suporte à disponibilização para os consumidores de atualizações de software/firmware para correções de vulnerabilidades de segurança do produto;
  • O fornecedor precisa disponibilizar atualizações de segurança para o produto por, no mínimo, 2 anos, ou enquanto o produto estiver sendo distribuído no mercado, se aplicando o maior período;
  • O fornecedor precisa ter um programa de divulgação coordenada de vulnerabilidades, e disponibilizar um canal de comunicação através do qual consumidores e o público em geral possam reportar vulnerabilidades encontradas no produto.

O Ato 77/21 e o Mercado

Em termos de mercado, o atendimento aos requisitos de segurança cibernética do Ato 77/21 da Anatel pode representar um avanço bastante significativo no nível médio de segurança atualmente oferecido por muitos dos equipamentos disponíveis nos mercados não só nacional como internacional.

Por outro lado, muitos fabricantes, como por exemplo, os de dispositivos IoT para residências ou para pequenas empresas têm hoje como principal prioridade de mercado (no Brasil e no mundo) a produção de dispositivos de baixo custo, tratando segurança como algo secundário.

Fabricantes como esses teriam, pelo menos inicialmente, caso venham a ter a obrigação de atender aos requisitos do ato, muita dificuldade para manter os custos nos níveis atuais.

Uma eventual adoção de requisitos semelhantes por mercados de outros países poderia ajudar a tornar a segurança desses dispositivos uma prioridade para os fabricantes e suas cadeias de fornecedores, ajudando, pelo volume, a baixar o custo do atendimento aos requisitos.

 

Conclusão

O Ato 77/21 da Anatel pode representar um grande avanço para a segurança cibernética de equipamentos de telecomunicações e de equipamentos com acesso à Internet.

Porém, não é uma tarefa fácil definir um conjunto de requisitos de segurança cibernética para equipamentos tão diversos em termos de finalidades e capacidades, e que continue relevante ao longo do tempo em um cenário com ritmo bastante acelerado de mudanças tecnológicas e de constante evolução dos métodos de ataque e defesa cibernética.

Muitos aspectos práticos sobre a aplicação desses requisitos ainda estão por ser propostos especialmente pelo GT-Ciber/Anatel. Nós do SiDi pretendemos acompanhar e contribuir com esse esforço.

 

Para saber mais: Página da Anatel sobre Segurança Cibernética.

#BeaSiDier

#BeaSiDier

Work at SIDI