17/04/2023
A Anatel publicou, por meio do Ato nº 2.436, os requisitos mínimos mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE (Customer Premises Equipment) empregados para conexão de assinantes à rede do provedor de serviços de internet. Como o nome sugere, equipamentos de ambiente do cliente são, de forma geral, os roteadores de conexão à internet.
Entre as novas medidas que serão exigidas, os equipamentos deverão possuir mecanismos de defesa contra tentativas de ataques de autenticação por força bruta; não utilizar credenciais, senhas e chaves criptográficas definidas no próprio código fonte do software/firmware e que não podem ser alteradas; proteger senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing; e implementar rotinas de encerramento de sessões inativas (timeout).
A Anatel também quer impedir o uso de senhas fracas. Para isso vai exigir senhas de pelo menos oito dígitos, com letras maiúsculas, números e caracteres especiais desde o envio de fábrica, além de proibir o uso de senhas repetidas em todos os aparelhos.
A regra se estende aos usuários, pois os equipamentos também não poderão aceitar senhas fracas por parte do cliente. Esses e outros requisitos serão mandatórios para a homologação dos equipamentos CPE a partir de 10 de março de 2024.
Segundo a agência, o prazo é necessário para que fabricantes adequem seus processos produtivos e para que importadores tenham prazo apropriado para ajustarem seus processos de aquisição de equipamentos. "Este instrumento visa tratar vulnerabilidades comuns nesta categoria de equipamentos, tais como as senhas padrão (iguais entre todas as unidades fabricadas) e a presença de portas/serviços de comunicação habilitados desnecessariamente, o que aumenta a superfície de ataque que pode ser explorada por agentes maliciosos.
Tais vulnerabilidades permitem que os equipamentos sejam acessados por agentes maliciosos via internet, possibilitando sua configuração ou a instalação de malwares que transformam os CPEs em vetores de ataque de negação de serviço (DDoS) ou expõem os dados pessoais e padrões de comportamento do usuário da internet", diz a Anatel, em nota.
Os requisitos exigem, ainda, que os fabricantes e fornecedores de CPEs tenham políticas claras de suporte ao produto, disponibilizem gratuitamente atualizações de segurança para os softwares dos equipamentos e possuam canais para notificação de vulnerabilidades descobertas por usuários ou especialistas.
Por ser a porta de acesso dos usuários ao ambiente da internet, considera-se essencial que os equipamentos CPE atendam requisitos mínimos de segurança e não exponham os usuários a riscos que, na maioria dos casos, não têm consciência de sua existência.
