Olá, somos a MACEDO TECH!
Explore o universo fascinante da tecnologia conosco: notícias inovadoras, tutoriais envolventes e a conveniência de solicitar uma consultoria com nossos especialistas.
Ato 77/2021 – Segurança – A aprovação da regulamentação da Anatel, o Ato 77/21, que estabelece requisitos de cibersegurança para equipamentos de telecomunicações no Brasil, despertou interesse de muitos, senão todos os usuários de tecnologia de redes em geral. Este artigo oferece uma visão abrangente e uma discussão concisa sobre o Ato 77/21 e seus requisitos.
Estamos preparando outro conteúdo para compartilhar nossa experiência na avaliação de segurança de dispositivos IoT, seguindo as diretrizes estabelecidas pela Anatel.
Aprovado no início do ano de 2021, o Ato 77/21 da Agência Nacional de Telecomunicações (Anatel) define requisitos de segurança cibernética para equipamentos terminais com conexão à Internet e infraestrutura de redes de telecomunicações.
Isso engloba não apenas dispositivos de rede, como roteadores e modems, mas também smartphones, computadores e dispositivos IoT, como câmeras IP, smart TVs e hubs IoT.
O objetivo principal do ato é incentivar os fornecedores a corrigir vulnerabilidades por meio de atualizações de software/firmware ou recomendações de configuração, contribuindo para a segurança da infraestrutura de telecomunicações e de seus usuários.
Embora inicialmente o cumprimento dos requisitos do Ato 77/21 não seja obrigatório, a definição dos requisitos mandatórios para os diferentes tipos de equipamentos homologados pela Anatel dependerá de propostas de regulamentação adicional.
Essas propostas serão submetidas ao Conselho Diretor da agência pelo recém-criado Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestrutura Crítica (GT-Ciber), do qual o SiDi faz parte.
O GT-Ciber, coordenado pela Anatel e composto por representantes de operadoras de telecomunicações, fabricantes de equipamentos e outras organizações, é responsável por elaborar estudos e propor procedimentos de avaliação de conformidade.
Esses procedimentos incluem a conformidade com os requisitos do Ato 77/21, fornecendo clareza essencial para os fabricantes atenderem às regulamentações.
Desde julho, a Anatel exige que os pedidos de homologação de equipamentos incluam uma declaração de conformidade com os requisitos do Ato 77/21. O formulário oficial oferece duas opções para cada requisito: afirmar a conformidade ou justificar a não aplicabilidade.
Embora essas declarações contenham informações confidenciais, uma divulgação voluntária pelos fabricantes poderia destacar o compromisso com a transparência e a segurança, sendo um diferencial de marketing valioso.
Após a homologação, a Anatel supervisiona o cumprimento dos requisitos por meio do Programa de Supervisão de Mercado. Isso envolve a coleta contínua de produtos homologados no mercado para avaliação de segurança. Produtos com vulnerabilidades críticas não resolvidas podem ter sua homologação suspensa, impactando a distribuição no mercado brasileiro.
O Ato 77/21 estabelece requisitos tanto para equipamentos quanto para fornecedores. Os requisitos para equipamentos abrangem áreas como atualização de software/firmware, gerenciamento remoto, instalação e operação, acesso para configuração, serviços de comunicação de dados e proteção de dados pessoais.
Para os fornecedores, o ato exige princípios de Security by Design, suporte a atualizações de segurança por pelo menos dois anos, e um programa de divulgação coordenada de vulnerabilidades.
O cumprimento dos requisitos do Ato 77/21 pode representar um avanço significativo na segurança dos equipamentos de telecomunicações. Mas, para isso as fabricantes de dispositivos IoT de baixo custo podem enfrentar desafios iniciais para manter os custos.
A possível adoção de requisitos semelhantes por outros mercados poderia elevar a segurança como prioridade, contribuindo para a redução dos custos de conformidade.
O Ato 77/21 da Anatel é um passo importante para a segurança cibernética de equipamentos de telecomunicações mas, a definição prática dos requisitos ainda está em andamento, liderada pelo GT-Ciber/Anatel.
Para obter mais informações, visite a [Página da Anatel sobre Segurança Cibernética]