Desde 26 de novembro, o setor de telecomunicações brasileiro entrou em uma nova fase. A Agência Nacional de Telecomunicações (Anatel) estabeleceu a obrigatoriedade de auditoria independente da Política de Segurança Cibernética (PSC) para todos os fornecedores de produtos e equipamentos de telecomunicações que atendem operadoras no país, por meio do Ato nº 16.417, publicado em 26 de novembro de 2024. Essa medida eleva o nível de responsabilidade e rastreabilidade para os dispositivos que integram as redes de telecom no Brasil.
O que muda com a nova norma?
Na prática, prestadoras de serviços de telecomunicações só podem utilizar equipamentos com certificado de conformidade cibernética, emitido por uma entidade auditora reconhecida. Ou seja, a segurança digital desses equipamentos não poderá mais se basear apenas em declarações dos fabricantes. Será necessário comprovar, com evidências técnicas e documentais, que os processos de desenvolvimento, atualização e suporte seguem as melhores práticas de cibersegurança.
Essa iniciativa da Anatel coloca o Brasil em destaque na América Latina quanto à regulação de cibersegurança em telecom. Atualmente, poucos países exigem de forma tão direta a comprovação de práticas de segurança por parte de fornecedores de infraestrutura crítica. Essa vanguarda regulatória tende a trazer múltiplos benefícios estratégicos.
Princípios de segurança exigidos pela Anatel
As auditorias para obtenção dos certificados devem ser conduzidas por organizações independentes que atendam a critérios de competência reconhecidos. A norma estabelece duas categorias principais de entidades aptas: os Organismos de Certificação Designados (OCDs) credenciados pela própria Anatel e as instituições independentes acreditadas segundo padrões internacionais, por meio de organismos membros do International Accreditation Forum (IAF).
Na prática, isso inclui tanto organismos nacionais designados – institutos já envolvidos na certificação técnica de produtos de telecomunicações – quanto empresas certificadoras globais com acreditação válida para avaliações de segurança. Caberá ao fabricante do equipamento escolher e contratar uma dessas entidades auditoras habilitadas.
O ponto central da auditoria de PSC é verificar se o fornecedor adota um conjunto de princípios e práticas de segurança considerados fundamentais. Entre esses princípios, destacam-se três amplamente reconhecidos no setor: security by design, security by default e privacy by design.
Security by Design
A adoção do security by design implica que a segurança seja incorporada desde a concepção dos equipamentos. Nesse sentido, o fabricante deve demonstrar que, durante o projeto e desenvolvimento do hardware e software, utilizou práticas de codificação segura e mecanismos para reduzir vulnerabilidades. Evidências típicas incluem o uso de ferramentas automatizadas de análise de código e metodologias formais para tratar erros e brechas identificadas ao longo do desenvolvimento.
Security by Default
Já o princípio de security by default requer que os dispositivos sejam seguros em sua configuração padrão de fábrica. Isso significa proteger credenciais com criptografia ou hashing adequados e desabilitar interfaces ou serviços desnecessários por padrão, minimizando a superfície de ataque disponível. A configuração inicial deve ser a mais restritiva possível em vez de permissiva, privilegiando opções nativamente seguras e alinhadas às melhores práticas de proteção e privacidade.
Privacy by Design
Por sua vez, o privacy by design assegura que a proteção de dados pessoais e sensíveis seja um componente intrínseco do produto. Os fabricantes precisam demonstrar, por exemplo, que implementam criptografia adequada para dados sensíveis em trânsito e em repouso, e que cumprem princípios da LGPD desde a arquitetura do sistema.
Outras exigências da Anatel
Além disso, as diretrizes de auditoria exigem que o fabricante possua processos estabelecidos para suporte e atualizações de segurança ao longo do ciclo de vida do produto. Isso se traduz em uma política clara de suporte, com compromisso de fornecimento de patches e atualizações regulares de firmware/softwares para corrigir vulnerabilidades que sejam identificadas futuramente.
Do ponto de vista do ambiente de negócios, a exigência de conformidade tende a elevar a competitividade. Fabricantes que investirem em segurança e seguirem padrões internacionais ganham reconhecimento e acesso ao mercado, enquanto aqueles que negligenciavam essas práticas precisarão correr atrás ou arriscam perder espaço.
É um claro incentivo para a inovação em segurança, estimulando o desenvolvimento de produtos mais seguros e de processos de engenharia mais maduros. A curto prazo, é possível que alguns fabricantes enfrentem desafios para se adequar – especialmente no que tange à documentação de processos e correção de eventuais lacunas identificadas pelas auditorias. Contudo, a médio e longo prazo, espera-se uma homogeneização: todos atingindo patamares mínimos de segurança que hoje variavam bastante entre os diversos fornecedores.
Brasil alinhado às práticas globais
Ao alinhar o Brasil às melhores práticas globais de cibersegurança, a Anatel não apenas protege as infraestruturas críticas e os usuários, mas também sinaliza ao mundo que o mercado brasileiro valoriza e exige excelência em segurança. Para as operadoras e provedores de internet, isso significa operar com mais tranquilidade, sabendo que os equipamentos em sua rede passaram por um crivo especializado.
A obrigatoriedade da auditoria de PSC não é apenas um cumprimento regulatório, mas sim um passo estratégico que reforça a confiabilidade e a robustez do setor de telecomunicações brasileiro, preparando-o para os desafios de segurança da próxima década.
Por Hugo Tinini, Coordenador Geral de Operações, da TÜV Rheinland
