Abrint quer prazo maior para troca de roteador de clientes

Proposta de instrução normativa para ampliação da incidência de obrigações previstas no Regulamento de Segurança Cibernética aplicada ao setor de Telecomunicações teve consulta pública encerrada
Crédito: Freepik
Crédito: Freepik

A Associação Brasileiro de Provedores de Internet e Telecomunicações (Abrint) pede a ampliação do prazo para reconfiguração ou troca dos roteadores fornecidos em comodato aos seus usuários, em contribuição feita na consulta pública da minuta de instrução normativa da Anatel, que foi encerrada nesta semana. A norma propõe que as Prestadoras de Pequeno Porte (PPPs) fiquem sujeitas ao cumprimento do artigo 8º do Regulamento de Segurança Cibernética aplicada ao setor de Telecomunicações. Além disso, defende excepcionalidades, no caso da impossibilidade de atender essa obrigação.

Com relação ao prazo, a Abrint pede 18 meses para adequação, ao invés dos seis meses previstos no regulamento. E sobre a excepcionalidades de risco de acréscimo de vulnerabilidade ou impedimento de ordem técnica, conforme o protocolo de autenticação e o uso de tecnologia específica, a entidade cita casos que há dificuldades de adequação, como quando não há um sistema de gerenciamento de rede (NMS) na prestadora, a mudança de autenticação deve ser feita por CPE, inviabilizando o prazo previsto pela Anatel e o compliance imediato da empresa; se o protocolo usado for Telnet, a empresa corre o risco de sniffer de rede malicioso no momento do tráfego do comando;  nos casos em que a ONU é em bridge, o PPPoE é aprovisionado direto no Roteador que fica no cliente e sua forma de autenticação recai no acesso via web, um a um; sempre que o acesso / autenticação não permita scrip, há um problema de se pensar em resolver autenticação em massa de CPEs.

“Em vista da diversidade de cenários, sugere-se que a aplicação da obrigação prevista no artigo 8° deva endereçar, já nesse momento, que se observarão as particularidades da tecnologia e dos protocolos de autenticação empregados pela prestadora, de modo a que o cumprimento do dispositivo regulatório não impacte a operação, não resulte em vulnerabilidade mesmo que momentânea e que seja possível de ser realizada pela prestadora observadas as particularidades do serviço”, sustenta a Abrint, em sua contribuição.

Já sobre o outro artigo da proposta de Instrução normativa, de ampliar a incidência das obrigações constantes dos artigos 6º, 7º, 8º, 9º, 10 e 11 do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações às empresas: I – Detentoras de cabo submarino com destino internacional; II – Prestadoras do Serviço Móvel Pessoal detentoras de rede própria; e III – Detentoras de rede de suporte para transporte de tráfego interestadual em mercado de atacado, a Abrint concorda parcialmente.

Para a entidade, o inciso III deve ser ajustado haja vista que não faz qualquer sentido estender obrigações à totalidade de prestadoras STFC que fazem encaminhamento de chamadas interestadual. “Isso, por si só, não significa, de modo algum, atuar no atacado e, mesmo que assim fosse compreendido, não envolve necessariamente criticidade”, argumenta. E sugere que, neste inciso, os conceitos de desequilíbrios regionais de atendimento ou disponibilidade de serviços, bem como criticidade de ativos, devem ser incorporados.

A Abrint pede mais discussões no GT-Ciber e, se possível, com maior participação de representantes das PPPs.

Avatar photo

Lúcia Berbert

Lúcia Berbert, com mais de 30 anos de experiência no jornalismo, é repórter do TeleSíntese. Ama cachorros.

Artigos: 1588