Empresas de telecomunicações, como provedores, têm até setembro para implantar soluções de segurança cibernética robustas, determina Anatel
| Empresas prestadoras dos serviços de telecomunicações têm até setembro de 2025 para implementar políticas e soluções de segurança cibernética, obedecendo a uma série de normativas e critérios. A determinação é da Agência Nacional de Telecomunicações (Anatel) e está em vigor desde o fim de 2024. Segundo a agência, as empresas terão de investir em segurança cibernética e proteção das infraestruturas de telecomunicações. A nova normativa exige controles de segurança bastante rígidos para as prestadoras de serviço móvel pessoal detentoras de rede própria, operadoras de banda larga com poder de mercado significativo (classificadas como PMS), e operadoras de cabo submarino com destino internacional. Mas são também alcançadas pela resolução as prestadoras de interesse coletivo e as operadoras de pequeno porte. Segundo Ricardo Dastis, Sócio e CTO da Scunna – empresa que trabalha há 37 anos com foco em soluções de segurança da informação, serviços consultivos e que possui uma operação de Cyber Defense Center (SOC) –, a resolução da Anatel, em linhas gerais, determina que as empresas devam criar políticas e sistemas de proteção para identificar, proteger, diagnosticar, responder e recuperar dados em casos de incidentes e ataques cibernéticos. Além disso, há ainda a questão de armazenamento seguro dos dados de seus usuários, nos termos da legislação e regulamentação, como a Lei geral de Proteção de Dados (LGPD), ciclos de avalição de vulnerabilidades, das ameaças e dos riscos no que se refere a segurança cibernética e infraestruturas de telecomunicações. “Na verdade, o que Anatel está fazendo é exigir que as empresas de telecomunicação invistam mais pesado em segurança cibernética e, de fato, façam um mapeamento de possíveis riscos de incidentes e de eventos que possam afetar a segurança do armazenamento dos dados dos usuários. Muitas já investem em soluções, mas a verdade é que a grande maioria, principalmente as médias e pequenas empresas, não possuem políticas claras e estrutura de defesa e de mitigação de riscos e ataques. A partir das novas resoluções da Anatel, as empresas terão de dispor de tecnologias de segurança, processos, controles, e de um plano de resposta a ataques cibernéticos, definindo ações, recursos e responsabilidades”, explica Dastis. Ainda de acordo com as resoluções, a prestadora deve promover, junto à Anatel, a notificação dos incidentes relevantes que afetem de maneira substancial a segurança das redes de telecomunicações e dos dados dos usuários, detalhando o incidente, análise da causa e do impacto, bem como ações de mitigação adotadas. “A Anatel está obrigando todas as empresas de telecom a investirem em segurança cibernética, pois há ainda muitos riscos. Apesar de as arquiteturas de rede terem evoluído, ainda há lacunas quanto à segurança em protocolos e processos de comunicação. Focou-se em expandir acesso e melhorar a infraestrutura, mas deixou-se de lado a segurança cibernética”, alerta o especialista. Ataque cibernético No fim de 2024, o grupo hacker Salt Typhoon, também conhecido como Earth Estries, lançou ataques cibernéticos GhostSpider contra redes de telecomunicação afetando inclusive redes do Brasil. A situação é considerada pelas autoridades de defesa como uma APT (Ameaça Persistente Avançada). Relatos indicam que o grupo cibercriminoso conseguiu comprometer mais de 20 instituições distintas, entre empresas de telecomunicações, tecnologia, consultoria, indústria química, transportes, agências governamentais, ONGs. Fonte: Spindler Comunicação |
