Os fabricantes de CPEs (equipamento nas instalações do cliente, na sigla em inglês) agora terão que cumprir com requisitos de segurança da Agência Nacional de Telecomunicações (Anatel). O objetivo é diminuir as vulnerabilidades que permitem ataques por meio dos CPEs.
A Anatel publicou nesta semana o Ato nº 2.436, com as exigências mínimas de segurança cibernética de equipamentos como cable modem, modem xDSL e roteador de FWA (acesso fixo sem fio). As regras serão obrigatórias a partir de 10 de março de 2024.
Relacionado: Segurança cibernética deve ser prioridade da UIT, defende Anatel
Os equipamentos deve estar de acordo com os seguintes critérios:
- possuir mecanismos de defesa contra tentativas exaustivas de acesso não autorizado;
- proteger senhas, chaves de acesso e credenciais com métodos adequados de criptografia;
- possibilitar ao usuário a desabilitação de serviços de comunicação não essenciais;
- as senhas de fábrica não podem ser fracas e não podem ser as mesmas para todos os dispositivos produzidos; entre outros.
Os fornecedores dos CPEs também precisam cumprir com requisitos, como ter uma política clara de suporte ao produto, garantir as atualizações de segurança por, pelo menos, dois anos após o lançamento do produto e disponibilizar um canal de comunicação para os clientes informarem vulnerabilidades.
Atualmente, essas vulnerabilidades dos CPEs podem ser porta de entrada de agentes maliciosos que usam os equipamentos para ataques de negação de serviço (DDoS) ou que expõem dados pessoais dos usuários.
Com as medidas de segurança, a expectativa é aumentar a segurança dos usuários e das redes de telecomunicações.