Ericson Scorsim. Advogado e Consultor no Direito da Comunicação. Doutor em Direito pela USP. Autor da Coleção de Ebooks sobre Direito da Comunicação.

 O governo federal, através de ato do Gabinete de Segurança Institucional da Presidência da República publicou a Instrução Normativa n. 4, de 26 de março de 2020 com as regras de segurança cibernética das redes 5G. Segundo o ato, a finalidade é regulamentar os requisitos mínimos de segurança cibernética a serem adotados nas redes de quinta geração (5G) de telefonia móvel, diante do risco de vulnerabilidades e backdoors em sistemas de 5G.

Princípios relacionados aos requisitos mínimos de segurança cibernética

Os requisitos mínimos de segurança cibernética estão baseados nos seguintes princípios: interoperabilidade, disponibilidade, integridade, autenticidade, diversidade, confidencialidade, prioridade e responsabilidade.[1] Os órgãos públicos e entidades da administração pública federal responsáveis pela implementação do sistema de 5G deverão exigir o cumprimento dos requisitos mínimos de segurança cibernética.[2] Assim, a empresa prestadora de telecomunicações deverá exigir que os serviços prestados e os equipamentos utilizados em suas redes atendam os protocolos de comunicação e especificações técnicas de infraestruturas aprovados pela Anatel ou, na hipótese de ausência, aqueles reconhecidos pela ABNT.[3] As empresas de telecomunicações deverão dispor de mecanismos de interoperabilidade com as demais prestadoras, por meio de mecanismos seguros.

Proteção ao núcleo do sistema da rede: vedação de acesso.

Além disto, as empresas prestadoras do serviço de telecomunicações deverão adotar o SEPP (Security /Edge Protection Proxy) no 5G  para evitar que redes roaming acessem os sistemas de núcleo,  mediante as funções de proteção das fronteiras destes redes para: i) esconder a topologia; ii) filtrar mensagens; iii) estabelecer canais TLS (Transport Layer Security) e iii) implementar proteção de segurança na camada de aplicacão para mensagens do tipo roaming através de redes IPX (internetwork packet exchange).[4]

Previsão de rotas alternativas de tráfego em hipótese de comprometido da infraestrutura e em situações emergenciais.

Também, a empresa de telecomunicações deverá seguir a regulamentação da Anatel, especialmente em relação à qualidade e disponibilidade do serviço prestado. Neste caso, deve ser previstas e testadas rotas alternativas para o tráfego de dados, na hipótese de infraestrutura de rede de determinada empresa estiver comprometida. Em casos emergenciais deve-se prestar a possibilidade de rotas alternativas com a utilização de infraestrutura de rede de outras operadoras.[5]

Função de detecção e mitigação de ataques cibernéticos

Ademais, a empresa prestadora de serviços deverá implementar as funções de detecção e de mitigação de “tempestades” de pacotes maliciosos de modo a prevenir e minimizar os efeitos de ataques cibernéticos do tipo negação de serviços Ddos (Distributed Denial of Service), sem prejuízo  de que pelo menos uma das funções possua a responsabilidade de prever o monitoramento de metadados de tráfego de rede, para identificação de padrões anormais.[6]

Verificação da integridade do tráfego de pacotes de dados.

Outro ponto consiste na obrigação da empresa prestadora de serviços habilitar mecanismos para verificação da integridade dos dados trafegados nas redes 5G, conforme disponibilidade da tecnologia e a regulamentação da Anatel.[7]

Isolamento de segurança das redes.

Outra questão refere-se à obrigação da empresa prestadora de serviços de implementar o padrão de isolamento de segurança NFV (Network Funcion Virtualization) como solução end-to-end, obrigatoriamente disponível nos equipamentos a serem utilizados, os quais devem seguir os padrões no estilo SECCOO9 (Multi-tenant hosting management security) e do SECOO2x (Security feature managment of open source software), definidos pela Europenal Telecomunications Standards Institute.[8]

Autenticação de Dados conforme padrão  IPV6

Outra obrigação da empresa prestadora de serviços é a habilitação de mecanismos de autenticação para os dados trafegados mediante o protocolo IPV6, para evitar o tráfego de dados forjados, sem prejudicar a proteção da origem dos dados trafegados.[9]

Promoção da diversidade e competição das provedoras de serviço por região e faixa de frequências

Outro aspecto é a política pública para promover a diversidade de provedoras de serviço por região e por faixa de frequências com a finalidade de proteção da concorrência e a qualidade dos serviços prestados, como também, a continuidade na hipótese de falha de prestação de serviços por determinada prestadora de serviços ou cessionária.[10]

Empresas de telecomunicações devem subcontratar fornecedores distintos

Outra regra é a obrigação de as empresas de telecomunicações subcontratarem fornecedores distintos, de modo que uma mesma área geográfica possua, pelo menos, duas prestadoras utilizados equipamentos de fornecedores distintos.[11]

Protocolos de criptografia

Além disto, impõe-se às empresas de telecomunicações a habilitação de camadas de proteção criptográfica dos dados a serem trafegados na rede 5G, em conformidade com a regulamentação da Anatel.[12]

Protocolos adicionais de criptografia para os usuários.

 Também, nas redes 5G deve-se permitir a adoção de protocolo adicional de criptografia por parte dos usuários, especialmente relacionadas às infraestruturas críticas.[13]

Auditoria de softwares utilizados nos equipamentos de infraestrutura de rede 5G

Outra norma refere-se à utilização de software nos equipamentos de infraestrutura das redes 5G, os quais deverão ser, preferencialmente, abertos e passíveis de auditoria em termos de segurança.[14]

Medidas de proteção à segurança da rede na hipótese de vulnerabilidade

Na hipótese de eventual exploração de vulnerabilidade da rede e, consequentemente, necessidade de se “derrubar” um nó de rede, para fins de isolamento, a prestadora de serviços deverá, sempre que possível, selecionar o nó com menor prioridade, isto é, aquele que não afeta as infraestruturas críticas.[15]

Auditoria nos procedimento de segurança cibernética das redes 5G

 Conforme a regulamentação, é obrigatória a auditoria sobre a segurança cibernética dos sistemas utilizados nas redes 5G, facultando-se a realização conjunta entre as empresas de telecomunicações e as empresas fornecedoras da tecnologia 5G. A atividade de auditoria deve, preferencialmente, englobar empresas, consumidores, parceiros, governo e instituições de pesquisa. Ademais, deve-se incentivar a cooperação entre os referidos agentes, para garantir a qualidade necessária em termos de segurança em relação ao processo decisório sobre a utilização do uso dos equipamentos ofertados. Outro aspecto, e designação de órgão central do sistema de auditoria para coordenar as atividades dos grupos de trabalho, verificando-se a conformidade com os requisitos mínimos estabelecidos pelo Gabinete de Segurança Institucional da Presidência da República e eventualmente outros requisitos a serem estabelecidos pelo órgão.[16]

Segurança da informação e a responsabilidade penal, cível e administrativa.

Outro dever da empresa prestadora de serviços e a manutenção da segurança da informação e seus respectivos atributos: i) disponibilidade; ii) integridade e iii) confidencialidade no tráfego da rede 5G, em conformidade com as recomendações da instrução normativa n. 4/2020, sem prejuízo, em caso de comprometimento da segurança, da responsabilidade penal, cível e administrativa.

Grave falha de segurança e as responsabilidades

Outro aspecto, em havendo grave falha de segurança, intencional ou não, que comprometa as informações e a proteção de dados pessoais, a empresa prestadora de serviço e as cessionárias subcontratadas, devem responder na medida de suas responsabilidades, nos termos da legislação vigente.[17]

Mecanismos de inspeção

Há o dever das empresas prestadoras de serviços fornecer mecanismos que possibilitem inspeção, inclusive em sua auditoria, em equipamento em produção, e até mesmo a retirada de hardware para avaliação em laboratório.[18]

Registros mensais sobre estado dos equipamentos de rede

As prestadoras de serviço deverão registrar, mensalmente, o estado de configuração dos equipamentos de sua rede, com informações sobre a topologia da rede, versões de hardware e software dos equipamentos, para facilitar os serviços de auditoria.[19]

Incidente de segurança cibernética.

Na hipótese de incidentes de segurança cibernética, a empresa deve informar, imediatamente, ao Centro de Tratamento e Resposta a incidentes cibernéticos do Gabinete de Segurança Institucional da Presidência da República.[20]

[1] IN. 4, DE 26 de março de 2020, art. 4º.

[2] IN 4/2020, art. 5º.

[3] IN 4/2020, art. 5, inc. I.

[4] IN 4/2020, art. 5º, inc. III.

[5] IN 4/2020, art. 5º, inc. IV

[6] IN 4/2020, art. 5º, inc. V.

[7] IN 4/2020, art. 5º, inc. VI

[8] IN 4/2020, art. 5º, inc. VII

[9] IN 4//2020, art. 5º, inc. VIII

[10] IN 4/2020, art. 5º, inc. IX

[11] IN 4/2020, art. 5º, inc. X.

[12] IN 4/2020, art. 5º, inc. XI.

[13] IN 4/2020, art. 5º, inc. XII.

[14] IN 4/2020, art. 5º, inc. XIII.

[15] IN 4/2020, art. 5º, inc. XIV.

[16] Ver IN n. 4/2020, art. 5º, incs. XV, XVI e XVII.

[17] Ver IN n. 4/2020, art. 5º, inc. XIX.

[18] IN 4/2020, art. 5º, inc. XX.

[19] IN 4/2020, art. 5º, inc. XXI.

[20] IN 4/2020, art. 5º, inc. XXII.