Acesse a página inicial

Menu principal
 

 Para imprimir o texto da consulta sem formatação, clique em IMPRIMIR no final da página.
Para visualizar os dados, clique em DADOS DA CONSULTA

CONSULTA PÚBLICA Nº 13
    Introdução

    Esta Consulta Pública apresenta uma proposta de requisitos mínimos de segurança cibernética para manutenção da homologação de terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações. A aplicação de cada requisito contido na proposta deve levar em consideração as diferentes características técnicas (quantidade de memória, capacidade de processamento de dados, interfaces para usuário, interfaces de comunicação, etc.) de cada equipamento e os fins a que se destinam.

    A proposta apresentada contempla requisitos que devem ser aplicados aos equipamentos e aos seus fornecedores e foi embasada em referências internacionais, tais como:

    OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

    IEEE - Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

    IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

    LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

    ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

    GSMA IoT Security Guidelines Complete Document Set.





    MINUTA DE ATO

    O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO - ANATEL, no uso das atribuições que lhe foram conferidas pela Resolução n.º 715, de 23 de outubro de 2019, e

    CONSIDERANDO a competência dada pelos Incisos XIII e XIV do Art. 19 da Lei n.º 9.472/97 – Lei Geral de Telecomunicações;

    CONSIDERANDO o Art. 22 do Regulamento para Avaliação da Conformidade e Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019;

    CONSIDERANDO a Estratégia Nacional de Segurança Cibernética, aprovada por meio do Decreto nº 10.222, de 5 de fevereiro de 2020; e

    CONSIDERANDO o constante dos autos do processo nº 53500.026122/2019-70,

    RESOLVE:

    Art. 1º Aprovar os requisitos mínimos de segurança cibernética para equipamentos para telecomunicações, nos moldes do Anexo a este Ato.

    Art. 2º Este Ato entra em vigor 180 (cento e oitenta) dias após a data de sua publicação no Boletim de Serviços Eletrônico da Anatel.


    ANEXO

    REQUISITOS MÍNIMOS DE SEGURANÇA CIBERNÉTICA PARA EQUIPAMENTO DE TELECOMUNICAÇÕES


    1. OBJETIVO

    1.1.Estabelecer requisitos mínimos de segurança cibernética para equipamentos terminais que se conectam à Internet e para equipamentos de infraestrutura de redes de telecomunicações, visando minimizar vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações e em seus mecanismos de gerenciamento remoto.


    2. REFERÊNCIAS

    2.1.Regulamento de Avaliação da Conformidade e de Homologação de Produtos para Telecomunicações, aprovado pela Resolução n.º 715, de 23 de outubro de 2019.

    2.2.OECD - Enhancing the Digital Security of Products - Draft Scoping Paper (November 2019).

    2.3.IEEE Internet Technology Policy Community White Paper - Internet of Things (IoT) Security Best Practices (February 2017).

    2.4.IETF - Internet of Things (IoT) Security: State of the Art and Challenges - RFC 8576.

    2.5.LAC-BCOP-1 (May/2019) – Best Current Operational Practices on Minimum Security Requirements for Customer Premises Equipment (CPE) Acquisition.

    2.6.ENISA - Baseline Security Recommendations for IoT in the Context of Critical Information Infrastructures (November 2017).

    2.7.GSMA IoT Security Guidelines – Complete Document Set.


    3. DEFINIÇÕES

    3.1.Backdoor: mecanismo não documentado contido no software/firmware do produto que possibilita acesso não autorizado ao equipamento. A presença de backdoors pode ser intencional ou acidental, podendo ser decorrente de erros de programação.

    3.2.Customer Premise Equipment (CPE): equipamento utilizado para conectar assinantes à rede do provedor de serviços de telecomunicações.

    3.3.Firmware: software ou conjunto de softwares programados em um hardware de propósito específico e que fornecem controle de baixo nível.

    3.4.Hashing: algoritmo matemático que mapeia dados de comprimento variável na entrada de uma função para um conjunto de dados de comprimento fixo na saída da função. O resultado da função hash possui muito pouca correlação com os dados de entrada da função, impossibilitando a obtenção do valor inicial de entrada a partir do resultado da operação da função.

    3.5.Métodos adequados de criptografia, autenticação e integridade: protocolos ou algoritmos de criptografia, autenticação e integridade, em suas versões atualizadas. A implementação deve permitir a seleção de conjuntos de criptografia e tamanhos de chave atualizados.


    4. REQUISITOS GERAIS

    4.1.O interessado na homologação deve demonstrar conformidade do produto por meio de declaração afirmando:

    a) que o equipamento e seu fornecedor atendem os requisitos contidos neste documento; e

    b) estar ciente que este documento está sujeito a atualizações.

    4.2.O escopo da declaração de conformidade deve considerar as diferentes características técnicas dos equipamentos (quantidade de memória, capacidade de processamento de dados, interfaces do usuário, interfaces de comunicação, etc.) e os fins a que se destinam, apontando quais requisitos são atendidos.

    4.2.1.Para produtos enquadrados na definição de CPE, a declaração de conformidade deve orientar-se, adicionalmente, pelo conjunto de requisitos contidos na referência 2.5.

    4.3.Nas atividades de supervisão de mercado, a Agência poderá avaliar os requisitos contidos neste documento por meio de procedimentos de ensaios orientados pelas melhores práticas, padronizadas internacionalmente, para avaliação de vulnerabilidades.

    4.4.Identificada, no produto homologado, qualquer vulnerabilidade relacionada a um ou mais requisitos de segurança cibernética, a Agência notificará o responsável pela homologação a sana-la, indicando prazo adequado para esse fim, considerando-se o grau de risco da vulnerabilidade.

    4.4.1.Decorrido o prazo sem que se verifique as adaptações necessárias ou a justificativa aceita pela Anatel para sua não implementação, a Agência suspenderá a homologação do produto, podendo indicar o recolhimento ou substituição do mesmo no mercado, garantidas as demais previsões regulamentares referentes ao direito do consumidor.

    4.4.2.A suspensão da homologação do equipamento será mantida até que as vulnerabilidades apontadas sejam sanadas ou até que o potencial risco à segurança dos serviços para telecomunicações seja mitigado, considerando-se o prazo máximo estabelecido na regulamentação vigente.

    4.4.3.Após o prazo máximo determinado para sua suspensão, a homologação será cancelada, caso a vulnerabilidade não seja solucionada.


    5. REQUISITOS DE SEGURANÇA CIBERNÉTICA DOS EQUIPAMENTOS PARA TELECOMUNICAÇÕES

    5.1.Equipamentos terminais que se conectam à Internet e equipamentos de infraestrutura de redes de telecomunicações, em suas versões finais destinadas à comercialização, devem:


    5.1.1.Quanto à atualização de software/firmware:

    a) Possuir mecanismos periódicos, seguros e automatizados para atualização de software/firmware que empregam métodos adequados de criptografia, autenticação e integridade.

    b) Permitir que os usuários verifiquem, de forma não automatizada, a disponibilidade de atualizações de software/firmware.


    5.1.2.Quanto à instalação e à operação:

    a) Implementar rotinas simplificadas para sua instalação e configuração, evitando potenciais falhas de segurança não intencionais.

    b) Realizar verificação da integridade do software/firmware durante a inicialização do sistema, sendo capaz de alertar ao usuário nos casos de comprometimento de sua integridade.

    c) Possuir mecanismo de monitoramento de comportamentos não usuais do software/firmware, alertando o usuário ou reiniciando-se automaticamente caso um comportamento suspeito seja detectado.

    d) Implementar ferramenta de registro de atividades (logs) relacionadas à autenticação de usuários, alteração de configurações do sistema e funcionamento do sistema.

    e) Quando fornecido com documentação, esta deverá conter o nome, a versão, a data de lançamento e as funcionalidades do software/firmware e/ou sistema operacional utilizado.


    5.1.3.Quanto ao acesso ao equipamento:

    a) Não utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos.

    b) Não utilizar senhas que sejam derivadas de informações de fácil obtenção por métodos de escaneamento de tráfego de dados em rede, tal com endereços MAC - Media Access Control.

    c) Forçar, na primeira utilização, a alteração da senha de acesso à configuração do equipamento.

    d) Não permitir o uso de senhas em branco ou senhas fracas.

    e) Possuir mecanismos de defesa contra tentativas exaustivas de acesso não autorizado (ataques de autenticação por força bruta).

    f) Garantir que os mecanismos de recuperação de senha sejam robustos contra tentativas de roubo de credenciais.

    g) Não utilizar credenciais e senhas definidas no próprio código fonte do software/firmware e que não podem ser alteradas (hard-coded).

    h) Proteger senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing.


    5.1.4.Quanto às interfaces/portas de comunicação:

    a) Estar desprovido de qualquer ferramenta de teste ou backdoor intencional utilizados nos processos de desenvolvimento do produto e desnecessários à sua operação usual.

    b) Estar desprovido de qualquer forma de comunicação intencional não documentada, incluindo aquelas para envio de informações de perfil de uso do equipamento para fabricantes ou para terceiros.

    c) Ser fornecidos com serviços de transmissão de dados (portas de comunicação) não essenciais desabilitados, reduzindo sua superfície de ataque.

    d) Facultar ao usuário a possibilidade de desabilitar funcionalidades, serviços e portas de comunicação não essenciais à operação ou ao gerenciamento do equipamento.


    5.1.5.Quanto aos dados sensíveis e informações pessoais:

    a) Possibilitar a utilização de métodos adequados de criptografia para transmissão e armazenamento de dados sensíveis, incluindo informações pessoais.

    b) Permitir que os usuários deletem facilmente seus dados pessoais armazenados, possibilitando o descarte ou a substituição do equipamento sem riscos de exposição de informações pessoais.


    5.1.6.Quanto à capacidade de mitigar ataques:

    a) Possuir mecanismo para limitação da taxa de transmissão de dados de saída (upload), além do usualmente necessário, a fim de minimizar sua utilização como vetores em ataques a outros equipamentos ou sistemas (ataque de negação de serviço).

    b) Ser projetados para mitigar os efeitos de ataques de negação de serviço em andamento, sendo resistentes a um número excessivo de tentativas de autenticação, por meio de, por exemplo: priorização de sua capacidade de processamento às sessões de comunicação já estabelecidas e autenticadas; e limitação do número de sessões de autenticação concorrentes, descartando tentativas de estabelecimento de novas sessões quando superado limite estabelecido.


    6. REQUISITOS PARA FORNECEDORES DE EQUIPAMENTOS PARA TELECOMUNICAÇÕES

    6.1.Os fornecedores de equipamentos terminais que se conectam à Internet e de equipamentos de infraestrutura de redes de telecomunicações, devem:

    6.1.1.Ter uma política clara de suporte ao produto, especialmente em relação à disponibilização de atualizações de software/firmware para correção de vulnerabilidades de segurança.

    6.1.2.Deixar claro para o consumidor até quando serão providas atualizações de segurança para o equipamento e com que frequência ocorrerão.

    6.1.3.Garantir que os processos de atualização automática de software/firmware sejam realizadas em fases a fim de evitar que erros não intencionais da nova versão de software/firmware sejam distribuídos a todos os equipamentos sob atualização de uma só vez.

    6.1.4.Prover atualizações de segurança por, no mínimo, 2 (dois) anos após o lançamento do produto ou enquanto o equipamento estiver sendo distribuído ao mercado consumidor, sendo aplicável a opção que mais se estender.

    6.1.5.Disponibilizar um canal de comunicação que possibilite aos seus clientes, usuários finais e terceiros reportarem vulnerabilidades de segurança identificadas nos produtos.

    6.1.6.Disponibilizar um canal público de suporte, por meio de página na internet em língua portuguesa, para:

    a) Informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança associadas;

    b) Manter histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança;

    c) Permitir acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos; e

    d) Fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.


    7. DISPOSIÇÕES FINAIS

    7.1.Considerando as ininterruptas evoluções tecnológicas do setor de telecomunicações e o incessante surgimento de novas ameaças à segurança cibernética para equipamentos de telecomunicações, este documento está sujeito a periódicas atualizações a fim de manter-se alinhado ao estado da arte do setor.