A Anatel abriu nesta quinta, 19/3, uma consulta pública sobre a primeira norma de segurança cibernética relacionada à certificação de equipamentos de telecomunicações, para terminais que se conectem à internet e equipamentos de rede. A proposta está aberta à sugestões por 60 dias.
Como disposto na consulta, ela tem como base a Estratégia Nacional de Segurança Cibernética (Decreto 10.222/20). “No tocante à avaliação da conformidade de produtos para telecomunicações, observa-se a necessidade de realizar medidas regulatórias com vistas ao fomento da E-Ciber”, diz expressamente. Além disso, está em elaboração na agência um Regulamento de Segurança Cibernética, embora de termos muito mais genéricos.
No caso específico dos requisitos mínimos, eles são mais detalhados. Incluem, por exemplo, “estar desprovido de qualquer ferramenta de teste ou backdoor intencional utilizados nos processos de desenvolvimento do produto e desnecessários à sua operação usual”.
Outras exigências são “possuir mecanismos periódicos, seguros e automatizados para atualização de software/firmware que empregam métodos adequados de criptografia, autenticação e integridade”, ou ainda “possibilitar a utilização de métodos adequados de criptografia para transmissão e armazenamento de dados sensíveis, incluindo informações pessoais”.
A norma prevê, também, mecanismos para evitar brechas comumente exploradas, como o uso de uma senha padronizada nos equipamentos, que quando não alterada pelos usuários acabam servindo de porta para invasões. Nesse sentido a norma prevê expressamente “não utilizar credenciais e senhas iniciais para acesso às suas configurações que sejam iguais entre todos os dispositivos produzidos”, e ainda “forçar, na primeira utilização, a alteração da senha de acesso à configuração do equipamento”.
Hackers teriam criado blog sobre segurança para recolher novas vulnerabilidades ainda sem correção e distribuir malware.
Não repassem dados pessoais por telefone ou por SMS. A vacinação contra a Covid-19 não exige cadastramento prévio no ministério da saúde, nem no aplicativo Conecte SUS Cidadão.
Tribunal assumiu o ataque, mas reportou que 'não houve invasão aos sistemas nem às bases de dados, tampouco furto de informações". A Polícia Federal foi acionada.
Primeiro patch tuesday de 2021 corrigiu 83 vulnerabilidades no sistema operacional Windows, Edge, Office, Visual Studio, .Net Core Engine e SQL Server, entre outros. Atenção total ao CVE-2021-1648, um bug no serviço splwow64 do Windows que pode permitir que um invasor eleve seu nível de privilégio.