A Agência Nacional de Telecomunicações (Anatel) publicou, no último dia 5, o seu primeiro ato direcionado à segurança cibernética de equipamentos de telecomunicações, o Ato 77/2021, que, entre diversas medidas para reduzir vulnerabilidades, determina que novos roteadores WiFi e outros produtos conectados à internet não poderão ter senhas fáceis.
Editado pela Superintendência de Outorgas e Recursos à Prestação, o novo ato visa "estabelecer um conjunto de requisitos de segurança cibernética para equipamentos para telecomunicações visando minimizar ou corrigir vulnerabilidades por meio de atualizações de software/firmware ou por meio de recomendações em configurações".
Com o novo regulamento, a Anatel pretende homologar somente novos produtos desenvolvidos com o conceito “security by design”, ou seja, sistemas de hardware ou software projetados, desde as primeiras etapas do seu projeto, para se tornar o mais livre possível de vulnerabilidades.
Um dos aspectos mais expressivos do Ato 77/2021 é o que determina que qualquer tipo de falha de segurança cibernética encontrada em equipamentos já homologados pela agência reguladora, e que afetem a segurança de seus usuários, prestadoras ou redes de telecomunicações, seja avaliada pela Anatel.
O fim das senhas fáceis
Para quem já se acostumou a utilizar o usuário e senha “admin” para logar o roteador, é melhor se acostumar com as novas regras, que igualmente não admitem senhas em branco ou fracas, e nem mesmo que diversos equipamentos de uma determinada marca saiam de fábrica a mesma senha.
Com isso, o endereço MAC (Media Access Control), determinado por diversos fabricantes como palavra-chave, deverá ser obrigatoriamente trocado na primeira utilização do produto, que não deverá admitir credenciais derivadas de informações de fácil acesso.
Durante as atualizações de software, o novo ato determina que os equipamentos tenham mecanismos automatizados e seguros que informem ao usuário sobre as alterações implantadas nos updates.
Nos casos de gerenciamento remoto, o regulamento determina que todos os dispositivos contem com métodos adequados de autenticação e criptografia, além de mecanismos de controle que limitem o acesso às origens particulares envolvidas.