A Anatel estabeleceu os requisitos mínimos para a segurança cibernética em produtos
14 de Abril de 2023

Quando você compra um produto eletrônico nas prateleiras, como saber se ele atende às normas mínimas de segurança cibernética? Se as empresas não cumprem sua parte, o consumidor fica desprotegido.

Por isso, a Agência Nacional de Telecomunicações (Anatel) agora estabelece requisitos mínimos de segurança no Brasil.

A partir de março de 2024, os produtos que não atenderem às exigências básicas da Anatel para segurança cibernética não poderão ser homologados no país como equipamentos do tipo CPE (Customer Premises Equipment) comercializados no Brasil.

Esse prazo dá tempo para que fabricantes nacionais e importadores ajustem seus processos produtivos e de aquisição de dispositivos.

Segundo o Ato 2.436/2023, de 7 de março de 2023, a Anatel determina que o objetivo é tratar vulnerabilidades comuns nessa categoria de equipamentos, como senhas padrão (iguais entre todas as unidades fabricadas) e portas/serviços de comunicação habilitados desnecessariamente, o que aumenta a superfície de ataque que pode ser explorada por agentes maliciosos.

Os dispositivos não podem vir com senhas fracas de fábrica, como mesmas credenciais para um mesmo item ou em branco.

As senhas definidas pelos usuários não podem ser em branco ou consideradas fracas.

O manual do produto deve informar as quantidades mínima e máxima de caracteres permitidas, assim como as diretrizes para criação da combinação.

Os aparelhos devem ter mecanismos de defesa contra invasão de força bruta e rotinas de encerramento automático para sessões inativas.

Os produtos também não podem utilizar credenciais, senhas e chaves criptografadas definidas no próprio código fonte do software/firmware que não possam ser alteradas.

As senhas devem ser armazenadas e transmitidas com uso de criptografia ou hashing.

Além disso, devem oferecer de forma clara aos usuários a possibilidade de desabilitar funções e serviços de comunicação não essenciais à operação.

Os fabricantes e fornecedores de CPEs devem ter políticas claras de suporte ao produto, além de disponibilizar gratuitamente atualizações de segurança e manter canais de notificação de vulnerabilidades descobertas por usuários ou especialistas.

Todos os requisitos da Anatel para a homologação de segurança cibernética de equipamentos podem ser vistos na página do Ato 2.436/2023, de 7 de março de 2023.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...