Os operadores de telecomunicações vão ser obrigados a divulgar quebras “significativas” de segurança. Anacom pode ou não divulgá-las ou obrigar operadores a revelarem.
Os operadores de telecomunicações vão ser obrigados a divulgar falhas de segurança com impacto significativo à Anacom, à Comissão Nacional de Protecção de Dados e, se obrigados pela autoridade reguladora, aos próprios clientes, no âmbito de uma directiva comunitária. Mas não há ainda definição sobre o que é um “impacto significativo” ou quando as falhas se devem revelar ao mercado.
No workshop “Do You Trust in Your Network“, realizado ontem em Lisboa pela Associação Portuguesa para o Desenvolvimento das Comunicações (APDC), Margarida Couto, da sociedade de advogados Vieira de Almeida & Associados, questionou a “obrigação sectorial” que só os operadores de telecomunicações têm, “com um impacto directo na reputação” dos mesmos.
Como tanto operadores e fabricantes podem ter responsabilidades numa falha de segurança, “a quem imputar responsabilidades”? Tanto mais quando o sector energético fica de fora e, se tiver problemas na sua rede, pode afectar as telecomunicações.
“A segurança não é um fim em si e traz-se para as redes de telecomunicações para solidificar objectivos”, como a comunicação com o público ou entre autoridades em caso de desastres naturais, lembrou Manuel Pedrosa de Barros, do Gabinete de Segurança das Comunicações da Anacom (na foto, com Margarida Couto).
Assim, “a disponibilidade deve ser a máxima possível, com a adopção de medidas necessárias para não se interromper o acesso”, considera. É necessária “a adopção de medidas técnicas e organizacionais” (análise de risco ou o estado evolutivo das tecnologias) e a “aplicação destas regras” a utilizadores ou a redes interligadas. Em resumo, “os operadores devem adoptar medidas de garantia dde integridade das redes para assegurarem a continuidade de serviços nessas redes”.
No âmbito da conformidade a essas regras e em casos de violações de segurança ou perda de integridade “com impacto significativo”, os operadores são obrigados a prestar informação à autoridade reguladora nacional (ARN), que a pode ou não partilhar com outras ARNs ou divulgá-la ao público (directamente ou obrigando o operador a fazê-lo junto dos seus actuais ou potenciais clientes).
Apesar de caber ao operador a revelação ddos casos, a Anacom “pode exigir uma auditoria de segurança ou exigir informação” aos operadores, afirma Manuel Barros.
Anualmente, será executado um relatório anual para enviar para a Comissão Europeia, através da agência de segurança europeia ENISA.
Para a definição de “impacto significativo”, vão ser definidas “métricas” com os operadores. À margem do evento, este responsável da Anacom esclareceu que estas métricas devem vir a ser acordadas com outras ARNs europeias e confirmou que “não está ainda definido” o que obriga a Anacom ou os operadores a divulgarem a informação ao público.
Para os operadores, a medida permite dar mais “confiança aos clientes, com maior escrutínio”, sintetizou Rui Cohen, da Optimus. Manuel Sequeira, da Zon, considerou que “as novas medidas são excelentes”, apesar de se saber que “a segurança é um trabalho que nunca está acabado”, como referiu Jorge Bonifácio, da Portugal Telecom. E que “não pode ser reduzido só aos operadores”, nem existir “divulgação sem consequências”, disse, lembrando como “as redes são complexas” e há que envolver os fabricantes para validarem e testarem os equipamentos. Este responsável da PT salientou ainda “a preocupação latente com os custos – é preciso falar com o regulador, também para definir o que são casos significativos.
Neste cenário, Margarida Couto questionou se os operadores não “vão colocar mais risco nos fabricantes-integradores – e também mais negócio”. Enquanto Bruno Lopes, da Huawey, salientou que “o problema também são as aplicações”, nem sempre desenvolvidas por este tipo de empresas, Marco Raposo, da Alcatel-Lucent, exemplificou o estado do negócio ao recordar um cliente que lhe pediu “uma solução com e sem segurança” para avaliar os custos.