O SUPERINTENDENTE DE OUTORGA E RECURSOS À PRESTAÇÃO DA AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, no uso das atribuições que lhe foram conferidas pela Portaria nº 419, de 24 de maio de 2013, e

CONSIDERANDO a competência dada à Agência pelos Incisos XII e XIV do art. 19 da Lei nº 9.472, de 16 de julho de 1997 – Lei Geral de Telecomunicações;

CONSIDERANDO que as prestadoras de serviços de telecomunicações devem utilizar, no âmbito de suas redes e serviços, produtos e equipamentos de telecomunicações provenientes de fornecedores que possuam política de segurança cibernética, conforme estabelecido no art. 7º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020; e,

CONSIDERANDO o constante dos autos do processo nº 53500.096265/2023-25;

RESOLVE:

Art. 1º Aprovar o Procedimento Operacional contendo diretrizes para auditoria da política de segurança cibernética de fornecedores de produtos e equipamentos de telecomunicações para prestadoras, na forma do anexo a este Ato.

Art. 2º Este Ato entra em vigor na data de sua publicação no Boletim de Serviço Eletrônico da Anatel, sendo mandatória sua aplicação a partir de 12 meses de sua publicação.

DIRETRIZES PARA AUDITORIA DA POLÍTICA DE SEGURANÇA CIBERNÉTICA DE FORNECEDORES DE PRODUTOS E EQUIPAMENTOS DE TELECOMUNICAÇÕES PARA PRESTADORAS

1.1.Estabelecer diretrizes para realização de auditoria em fornecedores de produtos e equipamentos para as prestadoras de serviços de telecomunicações para fins de comprovação de implementação da Política de Segurança Cibernética (PSC) estabelecida pelo Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber), em atendimento ao disposto no art. 7º do Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

2.1.Este procedimento aplica-se às prestadoras dos serviços de telecomunicações, aos fornecedores de produtos de telecomunicações para essas prestadoras e aos Organismos de Certificação Designados (OCD) no exercício de suas funções como agentes do processo de auditoria da Política de Segurança Cibernética (PSC) do fornecedor de produtos para telecomunicações às prestadoras.

2.2.Este procedimento deve ser aplicado em conjunto com a "Política de Segurança Cibernética de fornecedores de produtos e equipamentos de telecomunicações para as prestadoras", elaborado pelo Subgrupo de Equipamento Fornecedores e Requisitos do GT-Ciber e aprovado por meio do Despacho Decisório Nº 16/2023/COQL/SCO e seu Anexo.

3.1.Para o âmbito deste Procedimento, ficam estabelecidas as seguintes definições:

3.1.1.Fabricante: detentor do projeto técnico do produto e responsável pela integração dos diferentes módulos de hardware e de software que compõem o produto a ser fornecido à prestadora.

3.1.2.Fornecedor: responsável pelo fornecimento do produto à prestadora. Pode ser o próprio fabricante do produto ou um representante de um fabricante.

4.1.As referências normativas incluem documentos utilizados no desenvolvimento deste procedimento operacional assim como documentos que poderão auxiliar o interessado a obter um conhecimento mais aprofundado sobre segurança cibernética de produtos, metodologias de desenvolvimento seguro de produtos e procedimentos de auditoria:

4.1.1.Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações, aprovado pela Resolução nº 740, de 21 de dezembro de 2020;

4.1.2.Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, aprovado pelo Ato nº 77, de 5 de janeiro de 2021;

4.1.3.Despacho Decisório Nº 16/2023/COQL/SCO e seu Anexo.

4.1.4.ISO/IEC 27001, Information technology - Security techniques - Information security management systems – Requirements;

4.1.5.ISO/IEC 27002, Information technology - Security techniques - Code of practice for information security controls;

4.1.6.ISO/IEC 27034:2011 — Information technology — Security techniques — Application security;

4.1.7.ISO/IEC 27036-3, Information technology - Security techniques - Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security;

4.1.8.ISO/IEC 15408-1, Information technology – Security techniques – Evaluation criteria for IT security – Part 1: Introduction and general model

4.1.9.ISO/IEC 15408-2, Information technology – Security techniques – Evaluation criteria for IT security – Part 2: Security functional components

4.1.10.ISO/IEC 15408-3, Information technology – Security techniques – Evaluation criteria for IT security – Part 3: Security assurance componentes

4.1.11.ISO/IEC 29147, Information technology - Security techniques - Vulnerability disclosure;

4.1.12.ISO/IEC 30111, Information technology - Security techniques - Vulnerability handling processes;

4.1.13.IEC 62443-4-1 - SECURITY FOR INDUSTRIAL AUTOMATION AND CONTROL SYSTEMS – Part 4-1: Secure product development lifecycle requirements;

4.1.14.OWASP Comprehensive, Lightweight Application Security Process (CLASP);

4.1.15.GSMA NESAS - Network Equipment Security Assurance Scheme, acessível em: https://www.gsma.com/security/network-equipment-security-assurance-scheme/;

4.1.16.Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default, acessível em: https://www.cisa.gov/resources-tools/resources/secure-by-design-and-default;

4.1.17.FIRST Common Vulnerability Scoring System SIG, The Common Vulnerability Scoring System (CVSS), acessível em https://www.first.org/cvss/.

5.1.As auditorias para verificação da implementação da PSC pelo fornecedor das prestadoras poderão ser conduzidas por:

a) Organismos de Certificação Designados (OCD) pela Anatel habilitados pela Agência para esta atividade;

b) empresas independentes que possuam acreditação concedida por entidade membro do IAF (International Accreditation Forum) com escopo que contemple os itens da Política de Segurança Cibernética; ou

c) entidades que integram esquemas de certificação desenvolvidos por organismos ou fóruns de normatização técnica internacionalmente reconhecidos que contemplem os itens da Política de Segurança Cibernética.

5.2.Para a obtenção da habilitação pela Anatel para realização das auditorias, o OCD deverá comprovar, perante à Agência, dispor de auditor habilitado nas condições estabelecidas no procedimento operacional para reconhecimento de profissional como especialista na avaliação da conformidade de produtos para telecomunicações. Este auditor deverá atender, também, aos seguintes requisitos:

a) Ser reconhecido, pela Anatel, como especialista de segurança cibernética para o referido OCD; e

b) Ser reconhecido, pela Anatel, como especialista para avaliação de fornecedores com qualificação para realização de auditorias externas do Sistema de Gestão da Qualidade.

6.1.Para fins de comprovação da implementação da PSC pelo fornecedor, a prestadora poderá aceitar atestado ou conjunto de atestados de auditorias emitidos por entidades habilitadas em favor do fabricante dos produtos, desde que abranjam a totalidade dos itens da PSC aprovada pelo GT-Ciber.

6.2.O fornecedor de produtos de telecomunicações para as prestadoras será o responsável por contratar a entidade habilitada para a realização da auditoria, podendo transferir ou compartilhar tal responsabilidade com o fabricante do produto.

6.2.1.O escopo da auditoria deverá ser claro e previamente acordado entre entidades auditora e auditada, de forma a haver alinhamento de expectativas sobre o processo a ser desenvolvido.

6.3.O fornecedor ou o fabricante do produto deverão prover todas as evidências necessárias solicitadas pela entidade auditora para possibilitar a verificação de atendimento aos itens da PSC e consequente emissão do atestado de conformidade.

6.3.1.A entidade auditora poderá solicitar a apresentação de evidências ou informações adicionais àquelas já fornecidas inicialmente pela auditada, com a finalidade de comprovação de atendimento aos itens da PSC.

6.3.2.O fornecedor ou o fabricante poderá restringir o acesso do auditor a informações classificadas como segredo industrial ou comercial.

6.3.3.As evidências e os documentos apresentados à entidade auditora devem estar em língua portuguesa, inglesa ou espanhola e, se redigidos em língua diferente das mencionadas, devem ser apresentados acompanhados de tradução juramentada para o português.

6.3.4.O procedimento de auditoria deve primar pelo sigilo das informações.

6.4.O procedimento de auditoria deverá resultar em relatório(s) que descreva(m) a avaliação de cada item da política do fornecedor e sua conformidade ou não.

6.5.A entidade responsável pela condução da auditoria emitirá um atestado de conformidade em favor do fornecedor somente se o procedimento de auditoria evidenciar a aderência do fornecedor à PSC.

6.5.1.O atestado de conformidade deverá ter informações que sejam suficientes para identificar o fabricante do produto, seu representante no Brasil (se for o caso) e as linhas de produtos abrangidas pela avaliação realizada na auditoria.

6.5.1.1.O atestado de conformidade poderá indicar abrangência a todos os produtos ou linhas de produtos do fabricante, desde que verificada esta condição durante o procedimento de auditoria.

6.5.1.2.A inclusão de novos modelos de produtos dentro das linhas de produtos já avaliadas no procedimento de auditoria não demandará execução de auditorias adicionais.

7.1.Para comprovação da implementação da PSC aprovada pelo GT-Ciber, o fornecedor deverá apresentar à entidade que conduzirá o procedimento de auditoria:

a) Cópia de sua Política de Segurança Cibernética; e

b) As evidências elencadas nos subitens 7.5 a 7.12 deste documento.

7.2.A avaliação do auditor sobre os itens 7.5 a 7.7 e 7.11 a 7.12 refere-se ao processo de manufatura do fabricante e seus controles internos, devendo ser realizada sobre documentação ou evidências emitidas pelo fabricante.

7.2.1.A avaliação sobre os demais itens poderá ser realizada sobre documentação ou evidências relacionadas aos processos do fabricante ou de seu representante.

7.3.O processo de avaliação da auditoria frente às evidências apresentadas deverá considerar como referência as características dos equipamentos, seus cenários de utilização e as ameaças a que estão submetidos ,a fim de determinar se as informações apresentadas comprovam atendimento aos itens da política.

7.4.A auditoria deverá considerar que, para produtos mais antigos, poderá não ser possível ao fabricante redesenhar totalmente as etapas de concepção, projeto e desenvolvimento do produto. Contudo, ainda é possível para o fabricante reduzir as vulnerabilidades do equipamento por meio adequações de processos.

7.5.1.Quando aplicável ao produto homologado, apresentar o resultado da avaliação de segurança cibernética estabelecida nos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, que poderá ser a “Declaração de Atendimento aos Requisitos de Segurança Cibernética” ou o Certificado de Conformidade Técnica, submetidos à Anatel no processo de homologação dos produtos, contendo indicação de que os equipamentos a serem fornecidos às prestadoras: 

a) Foram desenvolvidos com observância ao princípio de security by design.

b) Estão desprovidos de qualquer ferramenta de teste ou backdoor utilizados nos processos de desenvolvimento do produto e desnecessários à sua operação usual.

7.5.2.Demonstrar, de maneira geral, as atividades realizadas pelo fabricante nas fases de concepção, projeto, desenvolvimento e fabricação do produto focadas na mitigação de vulnerabilidades e no incremento da segurança cibernética dos equipamentos e de seus usuários, podendo apresentar informações tais como:

a) Análises de risco sobre os produtos e suas aplicações, seu uso pretendido e possíveis desvios no uso pretendido, vulnerabilidades resultantes dos cenários de uso, como os equipamentos podem ser objeto de invasão por agentes mal-intencionados e características do hardware e do software dos equipamentos relevantes para sua segurança cibernética.

b) Normas, padrões ou recomendações adotados integralmente ou parcialmente em seus processos de desenvolvimento de produtos.

c) As práticas de desenvolvimento seguro de software e hardware adotadas. Por exemplo:

•adoção de linguagens de programação com gerenciamento automático de memória (memory safe programming languages);

•evitar implementações que são reconhecidas por possuírem vulnerabilidades de segurança já identificadas;

•utilizar ferramentas automatizadas para análise de códigos (por exemplo, ferramentas de análise estática ou dinâmica de códigos);

•adotar práticas de revisão de códigos, como revisão sistemática de códigos e revisão por pares;

•métodos aplicados para validação de entrada de dados;

•como é feito o tratamento de erros e vulnerabilidades identificados durante o desenvolvimento do produto.

•outros.

d) Como o código do software do equipamento é protegido e controlado durante o processo de desenvolvimento do produto. Por exemplo, com o uso de:

•repositório de código protegido;

•controle de versionamento;

•assinatura do código;

•outros.

e) Como é feita a verificação da segurança de softwares de terceiros que são utilizados nos equipamentos. Por exemplo:

•verificações da presença de vulnerabilidades conhecidas não tratadas;

•avaliação e testes do código fonte;

•teste de integração;

•outros.

f) Detalhamento do ciclo de testes para identificar vulnerabilidades no produto durante as fases de concepção, projeto e desenvolvimento e as ações envidadas para correção das falhas identificadas.

g) Como pode ser feita a verificação da integridade do software e do hardware do equipamento? Por exemplo, com o uso de:

•validação de assinatura de código;

•comparação de hash criptográfico;

•raiz de confiança de hardware;

•outros.

7.5.3.Na avaliação das evidências deverá ser considerado que não existe solução única ou padronizada para implementação dos princípios de security-by-design pelo fabricante. A adoção de práticas seguras para desenvolvimento de produtos deve considerar a criticidade e complexidade dos cenários de aplicação dos produtos e suas características técnicas, além dos impactos de sua implementação para a disponibilização de novos produtos e tecnologias no mercado. Nesta perspectiva, a auditoria deverá verificar a adoção, por parte do fabricante, de medidas alinhadas à diretriz de incentivo a adoção de conceitos de security by design e privacy by design no desenvolvimento de produtos e serviços no setor de telecomunicações contida no Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações.

7.6.1.Quando aplicável ao produto homologado, apresentar o resultado da avaliação de segurança cibernética estabelecida nos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, que poderá ser a “Declaração de Atendimento aos Requisitos de Segurança Cibernética” ou o Certificado de Conformidade Técnica, submetidos à Anatel no processo de homologação dos produtos, contendo indicação de que os equipamentos a serem fornecidos às prestadoras:

a) Protegem senhas, chaves de acesso e credenciais armazenadas ou transmitidas utilizando métodos adequados de criptografia ou hashing.

b) Por padrão de fábrica, são configurados de forma restritiva ao invés de forma permissiva. A seleção de parâmetros para as configurações iniciais de fábrica deve primar por opções nativamente seguras, alinhadas aos princípios de segurança e privacidade.

c) Estão desprovidos de qualquer forma de comunicação não documentada, incluindo aquelas para envio de informações de perfil de uso do equipamento para fabricantes ou para terceiros.

d) São fornecidos com serviços de comunicação de dados (serviço associado a uma porta/port) não usualmente utilizados desabilitados, reduzindo sua superfície de ataque.

e) Facultam ao usuário a possibilidade de desabilitar funcionalidades e serviços de comunicação não essenciais à operação ou ao gerenciamento do equipamento.

7.6.2.A depender das características do equipamento e de sua aplicação, ele pode não implementar todas as funcionalidades listadas em 7.6.1. Neste caso, o fornecedor deverá apresentar à auditoria as justificativas para tanto.

7.6.3.O fabricante deverá apresentar evidências de medidas adotadas focadas na disponibilização ao mercado de produtos cuja configuração padrão de fábrica prime pela segurança dos usuários e dos serviços, com funcionalidades não essenciais ao funcionamento inicial dos produtos desabilitadas, reduzindo sua superfície de ataque.

7.7.1.Quando aplicável ao produto homologado, apresentar o resultado da avaliação de segurança cibernética estabelecida nos Requisitos de Segurança Cibernética para Equipamentos para Telecomunicações, que poderá ser a “Declaração de Atendimento aos Requisitos de Segurança Cibernética” ou o Certificado de Conformidade Técnica, submetidos à Anatel no processo de homologação dos produtos, contendo indicação de que os equipamentos a serem fornecidos às prestadoras:

a) Estão desprovidos de qualquer forma de comunicação não documentada, incluindo aquelas para envio de informações de perfil de uso do equipamento para fabricantes ou para terceiros.

b) Possibilitam a utilização de métodos adequados de criptografia para a transmissão de dados sensíveis, incluindo informações pessoais.

c) Possibilitam a utilização de métodos adequados de criptografia para o armazenamento de dados sensíveis, incluindo informações pessoais.

d) Permitem que os usuários deletem facilmente seus dados pessoais e sensíveis armazenados, possibilitando o descarte ou a substituição do equipamento sem riscos de exposição de informações pessoais.

7.7.2.A depender das características do equipamento e de sua aplicação, ele pode não implementar todas as funcionalidades listadas em 7.7.1. Neste caso, o fornecedor deverá apresentar à auditoria as justificativas para tanto.

7.7.3.O fabricante deverá apresentar evidências de medidas focadas na garantia da confidencialidade, integridade e autenticidade dos dados pessoais processados, transmitidos ou armazenados pelos produtos produzidos.

7.8.1.Apresentar documentação que demonstre:

a) A política de suporte ao produto elaborada pelo fornecedor e como ela é aplicada, especialmente em relação à disponibilização de atualizações de software/firmware para correção de vulnerabilidades de segurança.

b) Condições específicas, se houver, conforme modelos, linhas ou categorias de produtos.

c) Divulgação da política por meio de página na Internet.

7.9.1.Apresentar documentação que demonstre:

a) Até quando e em quais situações serão providas atualizações de segurança para os equipamentos.

b) Garantia do provimento de atualizações de segurança por, no mínimo, 2 (dois) anos após o lançamento do produto ou enquanto o equipamento estiver sendo distribuído ao mercado consumidor, sendo aplicável a opção que mais se estender.

c) As atividades periódicas realizadas pelo fornecedor ou fabricante para identificar e mitigar vulnerabilidades ao longo do ciclo de vida de seus produtos.

d) Quais os mecanismos adotados para distribuir, de forma segura, ágil e sem custos aos usuários, as atualizações para correção ou mitigação de vulnerabilidades identificadas em seus produtos.

e) Que as atualizações são distribuídas acompanhadas de informações relevantes aos consumidores acerca das alterações efetuadas e as ações que devem ser realizadas para sua implementação.

7.10.1.Apresentar documentação que demonstre a existência de um canal de comunicação que possibilite aos clientes, usuários finais e terceiros notificarem ao fornecedor ou fabricante as vulnerabilidades de segurança identificadas nos produtos. Este canal deve:

a) Ser exclusivo para a notificação de vulnerabilidades; e

b) Implementar comunicações seguras como, por exemplo: formulário web com uso de HTTPS, e-mail criptografado com PGP ou outro esquema de chave pública (a chave pública associada ao endereço de e-mail deve ser disponibilizada para que os interessados possam, se assim desejarem, enviar mensagens cifradas).

7.11.1.Apresentar evidências de que possui implementado um processo de Divulgação Coordenada de Vulnerabilidades, provendo informações tais como:

a) Referências normativas, boas práticas e recomendações internacionalmente adotadas e reconhecidas sobre as quais se baseia o processo CVD implementado pelo fornecedor.

b) Publicação da Política de Divulgação Coordenada de Vulnerabilidade do fornecedor em sua página na Internet.

c) Os objetivos do fornecedor, suas responsabilidades, bem como o que ele espera de outras partes interessadas.

d) Como deseja ser notificado sobre as vulnerabilidades encontradas em seus produtos (ex.: e-mail, formulário em página na Internet) e os respectivos contatos (ex.: endereço de e-mail, URL de formulário web, etc.).

e) Detalhamento das opções de comunicação segura (ex.: chave PGP para e-mail, formulário seguro via HTTPS, etc.).

f) Quais informações o notificador deve incluir na notificação.

g) O que o notificador deve esperar após reportar uma vulnerabilidade como, por exemplo: reconhecimento do recebimento da notificação, reconhecimento da vulnerabilidade, atualizações na evolução do caso e seus respectivos prazos.

h) Informações sobre o que está dentro e fora do escopo do processo de notificação, suas limitações, etc.

7.12.1.Apresentar evidências de que disponibiliza canal público de suporte, por meio de página na internet, para:

a) Informar sobre novas vulnerabilidades identificadas em seus produtos, medidas de mitigação e correções de segurança associadas, com, no mínimo, as seguintes informações:

•Identificador: identificador exclusivo para cada comunicado.

•Título: referência genérica e sucinta referente ao(s) produto(s) afetado(s) e à vulnerabilidade corrigida.

•Visão geral: breve resumo de alto nível sobre a vulnerabilidade para que os usuários possam entender os pontos principais e determinar rapidamente se o aviso é aplicável ao seu ambiente.

•Descrição: descrição com mais informações que permitam aos usuários entenderem como são afetados e avaliarem sua exposição. Não deve fornecer detalhes a ponto de permitir a exploração da vulnerabilidade.

•Produtos afetados: uma lista de produtos afetados conhecidos e suas versões.

•Impacto: informações que descrevam o impacto da vulnerabilidade (por exemplo, negação de serviço, execução de códigos maliciosos) e a criticidade da vulnerabilidade por meio de sistema de pontuação de severidade reconhecido internacionalmente (ex.: Common Vulnerability Scoring System - CVSS).

•Solução (ou Mitigação): informações sobre a ação que os usuários devem realizar para corrigir ou remediar a vulnerabilidade e seu impacto.

•Créditos: reconhecimento ao descobridor (notificador) por relatar a vulnerabilidade e/ou outros envolvidos no processo de solução.

•Histórico de Revisão: versão e data da publicação original. Pode conter um histórico de modificações se o boletim for atualizado posteriormente.

b) Manter histórico de: vulnerabilidades identificadas, medidas de mitigação e correções de segurança;

c) Permitir acesso a correções de segurança e/ou novas versões de software/firmware para seus produtos; e

d) Fornecer manuais e outros materiais com orientações relativas à configuração, atualização e uso seguro dos equipamentos.

8.1.Os casos omissos neste procedimento serão resolvidos administrativamente pelas Superintendências competentes da Anatel, sendo dada oportunidade de manifestação a todos os envolvidos.