Anatel vai analisar equipamentos de rede para encontrar falhas de segurança
Normas de segurança determinam ausência de backdoors; equipamentos de rede serão recolhidos para testes a partir de agosto
Normas de segurança determinam ausência de backdoors; equipamentos de rede serão recolhidos para testes a partir de agosto
A Anatel irá analisar se equipamentos de rede e telecomunicações possuem backdoors, ou seja, alguma vulnerabilidade que cause vazamento de dados e informações sem o consentimento do usuário. A medida faz parte do novo Regulamento de Segurança Cibernética, que também impede senhas fáceis e inseguras em roteadores Wi-Fi.
A agência começa a recolher os equipamentos para testes a partir de agosto de 2021, e eles passarão por verificações que irão averiguar se o dispositivo descumpre algum requisito do regulamento de segurança cibernética. A homologação dos produtos deve ser feita por laboratórios credenciados, que farão testes de validação.
Todas as operadoras e fabricantes com poder de mercado significativo precisam cadastrar seus produtos na Anatel, e devem notificar a agência caso haja qualquer acontecimento de risco. A reguladora só irá homologar equipamentos que sejam desenvolvidos com o princípio security by design, ou seja, os dispositivos precisam ser projetados para serem seguros e desprovidos de qualquer ferramenta de backdoor.
Além disso, a regulamentação estabelece que os equipamentos tenham mecanismos automatizados e seguros para atualização de software ou firmware, além de permitir que usuários verifiquem a disponibilidade de updates e realizá-los sem perda de dados.
Caso a agência encontre alguma anormalidade nos dispositivos, as empresas e operadoras responsáveis serão notificadas para correção de problemas. Se houver recusa para solucionar as falhas, a Anatel poderá retirar os equipamentos das redes.
Uma das exigências importantes do ato sobre segurança para equipamentos de telecomunicações é quanto a credenciais padrão. É comum que modems e roteadores utilizem “admin” como usuário e senha, e isso não será mais permitido.
A credencial padrão de um dispositivo também não poderá ser derivada de informações de fácil acesso, como o endereço (ou parte) MAC, que é adotado como senha por diversos fabricantes de roteadores. O sistema ainda deve forçar a troca do login logo na primeira utilização.
Com informações: Telesíntese