Anatel promove workshop sobre regulação e segurança cibernética

A Anatel promoveu nessa terça-feira, dia 6 de junho, o workshop virtual Regulação & Segurança Cibernética no Setor de Telecomunicações, iniciativa do Centro de Altos Estudos em Telecomunicações (Ceatel), presidido pelo conselheiro diretor Alexandre Freire.

O objetivo do evento, conduzido pelo chefe da Assessoria Técnica, Juliano Stanzani, diretor-executivo do Ceatel, foi promover discussões relacionadas à regulação de segurança cibernética no setor de telecomunicações, com a participação multissetorial de especialistas no tema.

Demonstrando a importância do debate, os cinco conselheiros diretores da Anatel participaram da abertura do workshop, cuja íntegra está disponível no canal da Anatel no Youtube. (Neste texto, ao lado dos títulos da programação do evento, o leitor terá à sua disposição o tempo de início e de término de cada etapa do workshop no vídeo).

Abertura (7min38 a 36min50)

O presidente da Anatel, Carlos Baigorri, disse que, à medida que a economia e a sociedade brasileira vão se tornando mais conectadas, é cada vez mais importante discutir formas de garantir que as pessoas e as empresas consigam utilizar os serviços de telecomunicações e acessar as plataformas digitais de uma forma segura, de maneira que seus equipamentos, dados pessoais, seus negócios e sua cidadania também estejam protegidos. Baigorri destacou, ainda, que o workshop acontece em bom momento, justamente em meio ao debate entre os Poderes Legislativo e Executivo a respeito da lei de segurança cibernética.

O conselheiro diretor Alexandre Freire, na condição de conselheiro relator do processo de alteração do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, o R-ciber, destacou que o workshop traz importante e necessária pluralidade de perspectivas dos setores e atores. De acordo com Freire, segurança cibernética não é um fim em si mesmo, mas um eixo fundamental, habilitador da transformação digital, a qual traz oportunidades para o desenvolvimento do País e com isso o bem-estar de população. Em sua avaliação, a Anatel enfrenta com muita responsabilidade e transparência de sua missão, no sentido de promover segurança cibernética e resiliência das redes e serviços de telecomunicações e, assim, contribuir para a segurança e confiança do ambiente digital. E concluiu com a observação de que o Conselho Diretor se prepara para realizar as alterações do R-Ciber, as quais vem sendo gestadas há mais de dois anos na agência, inclusive no âmbito do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas (GT-Ciber).

O conselheiro diretor Moisés Moreira ressaltou que, nos últimos anos, o Estado brasileiro deu importantes passos para avançar no tratamento do tema, com a aprovação da política nacional de segurança da informação e posteriormente com a estratégia de segurança cibernética. “Neste cenário, diversos órgãos e atores da sociedade têm papeis importantes a desempenhar, sendo a Anatel um desses atores, dentro de sua atribuição de regular o setor de telecomunicações no País e garantir um bom funcionamento das redes e infraestruturas de comunicação críticas” disse. Esclareceu que, além da publicação do r-Ciber e da criação do GT-Ciber, a Anatel mostra preocupação com o tema em outras frentes de segurança, como no combate à pirataria, com ações relacionadas a TV box, equipamentos não homologados e bloqueios de IP, por exemplo.

O conselheiro diretor Vicente Aquino elogiou a atuação do Ceatel e disse que o debate público de questões de alta indagação produz subsídios para as deliberações da Anatel. De acordo com ele, o atual regulamento em seu terceiro ano de vigência permitiu acumular conhecimento pela Agência e pelo setor regulado na gestão colaborativa da segurança cibernética nas redes de telecomunicações. Recordou que o Decreto nº 10.748, de 2021, que instituiu a Rede Federal de Gestão de Incidentes Cibernéticos veio a  detalhar as competências tanto dos órgãos e entidades da administração pública federal como das agências reguladoras frente ao setor regulado. Registrou também que aos órgãos e entidades da administração pública federal compete instituir equipes de prevenção, tratamento e respostas a incidentes cibernéticos para fins internos. Aquino enfatizou que, na Anatel, já existe equipe própria para essa finalidade no âmbito da Superintendência de Gestão da Informação. Afirmou que, em decorrência de sua própria evolução tecnológica, as redes de telecomunicação se tornaram muito mais vulneráveis a ataques maliciosos E, como ocorre com as próprias redes, as ameaças cibernéticas também são evolutivas ao longo do tempo. E dessa forma para enfrentá-las é preciso contínuo aperfeiçoamento nas respostas.

Já o conselheiro Artur Coimbra salientou a necessidade de discussão sobre segurança cibernética e mencionou a dificuldade de sua delimitação, por ser um tema de escopo muito ampliado, que envolve fabricantes de equipamentos, uso hostil de redes de telecomunicações, mecanismos de combate à fraude, engenharia social, estruturação de sistemas, padrões de conduta segura e geração de confiança no uso da internet. Disse que certamente o workshop traz subsídios para o tratamento regulatório do tema, que está em fase de revisão.

Palestra inaugural - Atuação da Agência e Políticas Públicas de Segurança Cibernética no Brasil (36min52s a 47min03s)

A palestra inaugural foi proferida pela servidora Vanessa Copetti Cravo, membro do GT Ciber. Ela apresentou as políticas brasileiras vigentes em relação ao tema e ressaltou que a Agência considera a segurança cibernética como algo prioritário, transversal, multidisciplinar e multissetorial. Informou que o Regulamento de Segurança Cibernética possui princípios, diretrizes, obrigações e regras de governança e que a atuação na Anatel se dá em três frentes: Regulamentação, Conformidade e Conscientização.

Detalhou a estrutura do GT-Ciber, composto por quatro subgrupos, e destacou as ações de conscientização, como movimento #Fique Esperto e a página da Anatel dedicada à segurança cibernética. Explicou que o GT-Ciber auxilia no acompanhamento da Política de Segurança Cibernética, dispõe sobre forma e procedimento de atendimentos das obrigações e de compartilhamento de informações, realiza interlocução com outros órgãos e entidades, propõe a internalização de boas práticas e padrões, incentiva ações de capacitação, propõe ações de conscientização e elabora estudos.

Painel 1 – Regulação & Segurança Cibernética (47min9s a 2h25min9s)

O painel reuniu sete especialistas e foi moderado pelo superintendente de Controle de Obrigações da Anatel e coordenador do GT-Ciber, Gustavo Borges.

O assessor internacional da Universidade Estadual da Paraíba, Cláudio Lucena, apresentou resultados do pesquisa sobre segurança cibernética, realizada por meio de acordo realizado entre a Anatel a Universidade Federal de Campina Grande – UFCG em 2021. Segundo ele, todos os países pesquisados consideram a segurança indissociável do desenvolvimento e da própria aplicação em redes de 5G. Além disso, na pesquisa foram identificadas iniciativas regulatórias de governança mais flexíveis, com poucas regras rígidas e destaque para orientações ou guias de práticas a serem adotadas.

Gustavo Santana Borges destacou a expectativa da Agência de receber, em agosto próximo, os resultados finais da pesquisa e, então, avaliar as medidas que devem ser adotadas. O superintendente também informou que o GT-Ciber da Anatel elabora um documento de boas práticas para operadoras de telecomunicações, que deve ser divulgado ainda este ano.

O diretor do Centro de Pesquisa e Desenvolvimento em Segurança das Comunicações da Agência Brasileira de Inteligência (Cepesc/Abin), Paulo Magno de Melo Rodrigues Alves, mencionou a criptografia que será necessária à rede privativa do governo, resultado das obrigações assumidas pelas adquirentes de faixas do Edital de 5G, realizado pela Anatel. Ele também falou sobre algoritmos resistentes a computação quântica desenvolvidos pelo Cepesc para a Justiça Eleitoral.

O coordenador-geral de Gestão de Segurança da Informação do Gabinete de Segurança Institucional (GSI), Victor Hugo da Silva Rosa, estimulou as agências reguladoras a participarem da Audiência Pública da proposta de Projeto de Lei para criação da Política Nacional de Cibersegurança (PNCiber), dia 15 de junho, em Brasília. Ele se manifestou também sobre a questão da preocupação do impacto nas tarifas e preços durante a elaboração da regulamentação sobre segurança cibernética na Aneel, a Resolução Aneel n° 964/2021. Lembrou também que a Anatel tem resolução semelhante. Para ele, “segurança da informação tem custo, então temos de ver quanto se tem de investir e quanto isso vai rebater em tarifas e preços”.

A pesquisadora da London School of Economics and Political Science (LSE), Louise Marie Hurel, enumerou características que seriam adequadas a um futuro regulador de cibersegurança, associando à discussão a da PNCiber. Para a pesquisadora, o principal é a autonomia, “um princípio basilar para a atuação das agências e não é diferente para essa agência nacional de cibersegurança”. Segundo Louise, a futura agência deveria ter uma composição “majoritariamente civil” com “representatividade diversa em termos de gêneros e disciplinas”.

O professor da Goethe-Universität Frankfurt am Main, Ricardo Campos, apresentou a proposta de Lei de Resiliência Cibernética da União Europeia, que estabelece requisitos de segurança para produtos com elementos digitais. Essa seria a primeira regulamentação da União Europeia para a Internet das Coisas, explicou. A Lei propõe um mecanismo de classificação de risco que se divide em: produtos sem vulnerabilidades; crítico de classe I, de menor risco, como VPNs; e produtos críticos da classe II, de maior risco, como infraestrutura de chave pública e dispositivos móveis. A fiscalização das regras seria competência dos estados-membros e as sanções poderiam chegar a multas de até €15 milhões ou 2,5% da receita mundial total dos regulados.

Sobre incidentes relacionados à cibersegurança, a gerente-geral do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), Cristine Hoepers, destacou, como fator determinante para o compartilhamento de informações, a confiança entre participantes do ambiente da segurança da informação. Segundo Cristine, “nos lugares onde isso flui muito bem, os fatores determinantes são a plena confiança entre os pares, a confidencialidade, a não exposição da organização, não ter prejuízos ou punições”.

O diretor de Privacidade e Segurança da Informação do Departamento de Privacidade e Segurança da Informação da Secretaria de Governo Digital (SGD), Leonardo Rodrigo Ferreira, destacou a criação do Centro Integrado de Segurança Cibernética do Governo Digital (CISC gov.br),   com uma Equipe de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos (ETIR), que oferta um conjunto de soluções a 251 órgãos do governo federal. O CISC gov.br realizou, ano passado, ação-piloto em 57 órgãos, entre os quais a Anatel, que resultou em um avanço de mais de 90% na implantação de controles de privacidade e segurança nessas organizações.

Painel 2 – Boas Práticas, Conformidade e Padrões em Segurança Cibernética – Percepções da Indústria (2h25min36s a 3h13min9s)

O painel contou com a participação de representantes da Ericsson, Nokia e Huawei e foi moderado pelo superintendente de Outorga e Recursos à Prestação da Anatel, Vinícius Caram.

Pelas empresas, participaram Jacqueline Lopes, diretora de Relações Institucionais Latam South da Ericsson; Wilson Cardoso, diretor de Soluções da América Latina da Nokia; e Marcelo Motta, diretor de Cibersegurança e Privacidade da Huawei Brasil. Em comum, a preocupação de estar sempre buscando novas formas de garantir a segurança dos usuários. “Quanto mais evolução, mais suporte e segurança são demandados”, disse o superintendente da Anatel.

Jacqueline Lopes explicou que, da mesma forma que a chegada do 5G aumentou o uso da tecnologia em várias áreas, como saúde e transporte, cresceu também a necessidade de garantir a segurança das redes de telecomunicações em diversos contextos e casos de uso. “Como as redes de telecom possuem novos casos de uso, há um aumento das motivações e de vetores para possíveis ataques. Com isso, a necessidade de proteger as redes cresce exponencialmente”, afirmou a diretora da Ericsson.

Wilson Cardoso, da Nokia, apresentou um histórico da evolução tecnológica das redes e dos ataques. Ele lembrou o megavazamento de dados da Optus, segunda maior operadora da Austrália, ocorrido no ano passado, quando 9,8 milhões de clientes tiveram suas informações pessoais expostas de forma ilegal. “As redes de 5G são muito maiores e a complexidade dessas redes aumenta a área de exposição”, disse Cardoso. Ele apresentou medidas que alguns países estão tomando para garantir a segurança das redes.

Marcelo Motta, da Huawei Brasil, afirmou que as novas possibilidades digitais trouxeram novos desafios de segurança, com o aumento da superfície de ataque, o que gerou maior vulnerabilidade. Ele apresentou um estudo que demonstra que 25% dos incidentes cibernéticos foram causados por falha humana, mas que isso resultou em 90% do tempo que as redes de telecomunicações ficaram fora de serviço.

Painel 3 - Abrangência do R-Ciber (3h13min13s a 4h11min05)

O superintendente de Planejamento e Regulamentação da Anatel, Nilo Pasquali, explicou que a Resolução nº 740/2020 estabelece condutas e procedimentos para a promoção da segurança nas redes e serviços de telecomunicações, incluindo a Segurança Cibernética e a proteção das Infraestruturas Críticas de Telecomunicações, mas que as disposições não se aplicam às prestadoras de pequeno porte.

Ana Paula Bialer da Associação Brasileira da Indústria Elétrica e Eletrônica (Abinee) falou da importância da revisão do regulamento para buscar trazer obrigações mais objetivas e mais concretas, sendo necessário também que se consiga efetivamente fiscalizar, sancionar as empresas e estabelecer processos de auditoria. Ela defendeu que práticas adotadas em outros países não devem ser simplesmente copiadas, sendo necessária a reflexão, devido à complexidade das discussões.

José Bicalho, da Conexis, defendeu que as obrigações de segurança cibernética da Resolução nº 740 devem ser estendidas também às prestadoras de pequeno porte, pois elas são responsáveis por mais da metade dos clientes de banda larga fixa no Brasil. Segundo ele, em outros países não há distinção conforme o porte da empresa. De acordo com sua apresentação, as pequenas e médias empresas são mais vulneráveis e as violações demoram mais para serem detectadas e recuperadas.

Luis Henrique Barbosa da Telcomp apresentou outro ponto de vista. Segundo ele, a Anatel agiu de maneira acertada na forma com que o GT-Ciber conduziu a elaboração da Resolução. Ele defendeu a colaboração, declarou ser injusto criar obrigação muito complexa para empresas de pequeno porte e sugeriu que as grandes empresas compartilhem suas experiências com as pequenas.

Sérgio Ribeiro, do CPQD disse que as empresas deviam nascer prevendo aspectos de segurança cibernética. Segundo ele, o regulamento precisa ser exercitado por todos os entes e uma alternativa seria dilatar prazos para adequação das empresas. Ele mencionou o Ato nº 77/2021 que dispõe sobre requisitos de segurança cibernética para equipamentos de telecomunicações e citou a importância da adoção do Security by Design.

Apresentação do Institute for Security and Tecnology (4h12min a 4h38min02s)

Elizabeth Vish e Zöe Brammer, do Institute for Security and Technology, apresentaram um tipo de malware que está prejudicando empresas e órgãos de governo: o ransomware. Esse tipo de malware atinge sistemas informatizados, inclusive de seguranças críticas, e encripta os dados, de forma que fiquem indisponíveis para os usuários. Para efetuar a desencriptação, os cibercriminosos exigem resgates, sob risco de jamais liberarem os dados ou de divulgá-los publicamente. Somente em 2022, foram pagos 456,8 milhões de dólares em resgate.

O Instituto participa de uma força-tarefa multissetorial dedicada ao ransomware e elabora materiais informativos sobre o tema, disponíveis em seu sítio na internet. Elas destacaram que é essencial a colaboração de governo e iniciativa privada no compartilhamento de informações para desenvolver mecanismos de prevenção e de combate ao ransomware, que sejam eficazes tanto na proteção dos sistemas quanto na interrupção da cadeia de sequestro de dados formada pelo malware.

Segundo Elisabeth Vish, as empresas de telecomunicação podem auxiliar seus clientes divulgando informações sobre o tema.  Ronaldo Neves de Moura Filho, chefe da Assessoria Internacional da Anatel, moderador do painel, disse que considera oportuno o diálogo entre Anatel e o IST para aprofundar discussões sobre o tema.

Encerramento (4h38min02s a 4h43min45s)

Finalizando o encontro, o conselheiro Alexandre Freire disse que o workshop foi bastante importante para a discussão da cibersegurança e que foi percorrido um longo caminho, envolvendo a academia, o setor público, os grandes fabricantes de equipamentos 5G, o que aprofundou as discussões específicas sobre a revisão do R-Ciber. Aproveitou a oportunidade para reiterar o compromisso da Agência para contribuir com a segurança cibernética e com a resiliência das redes de telecomunicações.