O Brasil encontra-se atualmente entre os países que mais sofrem com ataques cibernéticos. Projeções ano a ano tendem a mostrar sempre um cenário de aumento desses problemas, o que nos leva a pensar em algumas atitudes que possam reduzir impactos financeiros e de impactos relacionados a imagem das empresas perante seus consumidores.
Para organizar os itens relacionados a segurança de redes e informações que nela trafegam, a Anatel desenvolveu a resolução n°740, de 21 de dezembro de 2020. Este documento tem como base que as condutas listadas, possam assegurar alguns princípios básicos da segurança de dados, como a autenticidade, confidencialidade, disponibilidade, integridade, interoperabilidade, prioridade, responsabilidade e transparência.
A resolução é direcionada a todos os prestadores de serviços de telecomunicações de interesse coletivo, sendo as de pequeno porte, isentas de alguns itens presentes no regulamento.
Quando o assunto é ataque de negação de serviço ou DDoS, um dos maiores problemas nas redes em geral, é a adoção dos famosos “Sky Gato” por parte dos consumidores finais. Tais equipamentos, além de fornecer acesso aos canais abertos e fechados, tendem a auxiliar atacantes quando o assunto é criar uma botnet para iniciar ataques.
Esses ataques vem em escalada ano a ano e o tráfego gerado por botnets no Brasil são grandes contribuintes para campanhas de ataques nacionais e internacionais, como podemos ver em um relatório da empresa Cloudflare, que detalha um ataque mitigado por ela no mês de agosto de 2021.
Nesse ataque foram utilizadas 17,2 milhões de solicitações HTTP por segundo. O tráfego foi originado por mais de 20 mil bots, em cerca de 125 países e com base nos endereços IP de origem dos bots foi possível verificar que cerca de 15% das requisições foram originados na Indonésia e outros 17% ficaram entre a Índia e Brasil combinados.
Esse ataque em específico teve como destino um cliente da Cloudflare do setor financeiro, porém os atacantes, em sua maioria, não se importam atualmente com porte da empresa que será atacada. Muitas das vezes o realizam somente por pura demonstração de poder, e não somente os ataques de negação de serviço utilizando botnets que tiram o sono dos operadores de redes. Os ataques baseados na instalação de ransomwares nas estruturas da empresa também são avassaladores.
Tivemos um exemplo no Brasil com o ataque direcionado a empresa Renner, no dia 19 de agosto de 2021, que ficou sem operações de e-commerce até o dia 21 (sábado), e só conseguiu reestabelecer os aplicativos no dia 22 (domingo), gerando um impacto financeiro e para a imagem da empresa.
A resolução vem como resposta ao cenário que temos atualmente, em que os ataques de negação de serviço ficam cada vez mais impactantes, ataques de ransomware tomam proporções gigantescas, campanhas de phishing são cada vez mais comuns.
Além disso, há preocupação com relação ao assunto segurança nacional. Pois, sabemos que várias infraestruturas críticas, instalações, serviços, bens e sistemas, afetos à prestação de serviços de telecomunicações, que, se forem interrompidos ou destruídos, provocarão sério impacto social, econômico, político, internacional ou à segurança do Estado e da sociedade.
Essas infraestruturas, em um país com dimensões continentais, são atendidas por redes totalmente descentralizadas, que em várias situações acabam não aplicando todos os recursos disponíveis relacionados a segurança das informações. O que naturalmente pode gerar um problema em nível de segurança nacional, com outros países e organizações acessando informações que por padrão deveriam ser confidenciais, na maioria das vezes os problemas relacionados a segurança de dados tem origem em detalhes simples que poderiam ser ajustados, prevenindo as ações maliciosas.
O regulamento exige a elaboração de uma política de cibersegurança completa, contendo os objetivos de segurança cibernética da empresa, normas e padrões nacionais e internacionais. Além de referências de boas práticas operacionais que estejam aplicadas na estrutura da entidade, deve conter também, os procedimentos adotados para a disseminação da cultura de cibersegurança e capacitação dos envolvidos na operação.
A empresa deve documentar os procedimentos relacionados ao armazenamento seguro dos dados de seus usuários. Os quais devem estar sempre acompanhando a legislação vigente e regulamentação, é preciso definir e documentar os procedimentos adotados para identificação e correção de vulnerabilidades, listar as infraestruturas críticas atendidas pela empresa, mapear riscos e definir plano de ação para minimizá-los e ter um plano de resposta a incidentes contendo os SLAs envolvidos.
Esses são alguns itens indispensáveis listados pela política de segurança cibernética nos moldes solicitados pela Anatel. Além desses, a resolução ainda comenta várias práticas que devem ser tomadas pelos responsáveis pela segurança da empresa.
A resolução n°740 entrou em vigor no dia 4 de janeiro de 2021 e, quando pensamos nas sanções que podem ser aplicadas por ela, temos que tomar muitos cuidados, pois as ações de prevenção descritas na resolução vão de encontro com diversas outras regulamentações, cada qual com suas sanções definidas separadamente. Por exemplo, caso não se tenha a aplicação de itens relacionados ao armazenamento seguro dos dados dos usuários e um atacante se aproveite dessa vulnerabilidade, podem ser aplicadas sanções relacionadas a lei geral de proteção de dados — LGPD, ou seja, é de extrema importância que essa regulamentação seja aplicada massivamente, principalmente nos ISPs.
Respondendo de forma bem objetiva a pergunta do título, é imprescindível ter uma política de seguranças cibernéticas nos ISPs, a resolução n°740 embora imponha como obrigação os itens, nos auxilia na criação de um checklist das necessidades básicas quando o assunto é segurança cibernética e, principalmente, nos remete a palavra mais importante desse ecossistema: prevenção.
