Nesta terça-feira (11), a Agência Nacional de Telecomunicações (Anatel) divulgou em seu site, por meio do ato nº 2.436, os requisitos mínimos mandatórios de segurança cibernética para avaliação da conformidade de equipamentos CPE (Customer Premises Equipment), que são usados para conectar usuários à rede do provedor de serviços de internet.
Segundo as exigências da Anatel, os equipamentos deverão ter mecanismos de defesa contra tentativas de ataques de autenticação por força bruta, não usa credenciais, senhas e chaves criptográficas definidas no próprio código fonte do software/firmware e que não podem ser alteradas; além de proteger senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing; e implementar rotinas de encerramento de sessões inativas (timeout).
A Anatel também quer impedir o uso de senhas fracas. Com isso, exigirá que as senhas tenham pelo menos oito dígitos, incluindo letras maiúsculas e caracteres especiais desde o envio de fábrica. Além disso, ainda vai proibir o uso repetido de senhas em todos os equipamentos. Essas medidas também valerão para os usuários, já que os aparelhos não aceitarão senhas fracas por parte do cliente.
As exigências para a homologação dos equipamentos CPE começarão a valer a partir de 10 de março de 2024, cujo prazo é necessário para que os fabricantes adequem seus processos produtivos, assim como para que os importadores tenham prazo apropriado para ajustarem seus processos de aquisição de equipamentos.
“Este instrumento visa tratar vulnerabilidades comuns nesta categoria de equipamentos, tais como as senhas padrão (iguais entre todas as unidades fabricadas) e a presença de portas/serviços de comunicação habilitados desnecessariamente, o que aumenta a superfície de ataque que pode ser explorada por agentes maliciosos. Tais vulnerabilidades permitem que os equipamentos sejam acessados por agentes maliciosos via internet, possibilitando sua configuração ou a instalação de malwares que transformam os CPEs em vetores de ataque de negação de serviço (DDoS) ou expõem os dados pessoais e padrões de comportamento do usuário da internet”, diz a Anatel, em nota.
A Anatel também exige que os fabricantes e fornecedores de CPEs tenham políticas claras de suporte ao produto, disponibilizem gratuitamente atualizações de segurança para os softwares dos equipamentos e possuam canais para notificação de vulnerabilidades descobertas por usuários ou especialistas.
