Empresas de telecomunicações têm até setembro para implementar políticas e soluções de segurança cibernética, obedecendo a uma série de normativas e critérios. A determinação é da Agência Nacional de Telecomunicações (Anatel) e está em vigor desde fim de 2024. Segundo a agência, as empresas terão de investir em segurança cibernética e proteção das infraestruturas de telecomunicações.
A normativa exige controles de segurança rígidos para as prestadoras de serviço móvel pessoal detentoras de rede própria, operadoras de banda larga com poder de mercado significativo (classificadas como PMS), e operadoras de cabo submarino com destino internacional. São também alcançadas prestadoras de interesse coletivo e operadoras de pequeno porte.
Segundo nosso CTO Ricardo Dastis, “a resolução da Anatel determina que as empresas devam criar políticas e sistemas de proteção para identificar, proteger, diagnosticar, responder e recuperar dados em casos de incidentes e ataques cibernéticos. Há ainda a questão de armazenamento seguro dos dados de seus usuários, nos termos da legislação e regulamentação, como a Lei geral de Proteção de Dados (LGPD), ciclos de avaliação de vulnerabilidades, das ameaças e dos riscos no que se refere à segurança cibernética e infraestruturas de telecomunicações. Apesar de as arquiteturas de rede terem evoluído, ainda há lacunas quanto à segurança em protocolos e processos de comunicação. Focou-se em expandir acesso e melhorar a infraestrutura, mas deixou-se de lado a segurança cibernética”
“O que Anatel está fazendo é exigir que empresas de telecomunicação invistam mais em segurança cibernética e façam um mapeamento de possíveis riscos de incidentes e de eventos que possam afetar a segurança do armazenamento dos dados dos usuários. Muitas já investem em soluções, mas a grande maioria, principalmente as médias e pequenas empresas, não possuem políticas claras e estrutura de defesa e de mitigação de riscos e ataques. A partir destas resoluções, as empresas terão de dispor de tecnologias de segurança, processos, controles, e um plano de resposta a ataques cibernéticos, definindo ações, recursos e responsabilidades”, explica Dastis.
Ainda de acordo com as resoluções, a prestadora deve promover, junto à Anatel, a notificação dos incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários, detalhando o incidente, análise da causa e do impacto, bem como ações de mitigação adotadas.
Ataque cibernético
No fim de 2024, o grupo hacker Salt Typhoon, também conhecido como Earth Estries, lançou ataques cibernéticos GhostSpider contra redes de telecomunicação afetando inclusive redes do Brasil. A situação é considerada pelas autoridades de defesa como uma APT (Ameaça Persistente Avançada). Relatos indicam que o grupo conseguiu comprometer mais de 20 instituições, entre empresas de telecomunicações, tecnologia, consultoria, indústria química, transportes, agências governamentais e ONGs.
