# Reino Unido enfraquece proteções de cibersegurança para telecomunicações em meio à pressão da indústria O Reino Unido, segundo relatos, diluiu proteções críticas de cibersegurança para suas redes de telecomunicações, medidas inicialmente concebidas em resposta direta à campanha de espionagem **Salt Typhoon**. Documentos revisados pelo Recorded Future News indicam que esse recuo ocorreu após empresas de telecomunicações fazerem lobby contra os requisitos propostos, citando preocupações com custos e praticidade. Embora nem o governo britânico nem a indústria de telecomunicações tenham confirmado compromissos nas redes do Reino Unido pela campanha **Salt Typhoon**, ligada à China, o **National Cyber Security Centre (NCSC)** declarou anteriormente que hackers chineses globalmente "visaram organizações em setores críticos", com um "agrupamento de atividades observado no Reino Unido". ## Uma Tensão Mais Ampla na Segurança Nacional Esta decisão destaca uma tensão recorrente descrita por oficiais de segurança e inteligência ocidentais: uma indústria que busca assistência governamental contra hackers patrocinados por estados, mas que depois resiste ao acesso e às obrigações necessárias para uma defesa eficaz. Um oficial sênior de um aliado da OTAN relatou um cenário em que uma grande empresa de telecomunicações solicitou ajuda contra suspeitos hackers chineses, apenas para recusar o acesso à rede à agência assistente. Historicamente, não era assim. **Ciaran Martin**, fundador do **NCSC**, observou que, quando o quadro de segurança de telecomunicações foi desenvolvido pela primeira vez, executivos da indústria buscaram ativamente regulamentação, vendo-a como um mandato legal para justificar investimentos em segurança aos acionistas. ## A Gênese das Novas Medidas As medidas de cibersegurança agora enfraquecidas foram inicialmente propostas em agosto passado pelo **Department for Science, Innovation and Technology (DSIT)**. Elas faziam parte de uma consulta para um código de prática atualizado que rege como os provedores de telecomunicações devem proteger suas redes. A iniciativa foi lançada em resposta a ataques ligados a estados em redes de telecomunicações dos EUA, que vieram à tona após os incidentes **Salt Typhoon**. Empresas como **BT**, **VMO2**, **VodafoneThree**, **Sky**, **Ericsson** e **Amazon Web Services** apresentaram respostas à consulta. A **TechUK**, o órgão comercial da indústria, coordenou uma submissão coletiva. Embora a **TechUK** tenha declarado seu envolvimento ativo no desenvolvimento do Código, afirmando que o quadro era "apropriado, proporcional e tecnicamente viável", nenhuma das empresas forneceu uma declaração até o momento da publicação. Quando o governo respondeu à consulta na semana passada, muitas de suas medidas mais significativas foram descartadas ou adiadas. Esses recuos, anteriormente não relatados, entrarão em vigor em meados de julho, a menos que sejam contestados pelo Parlamento. O Código é emitido sob o **Telecommunications (Security) Act 2021**, que exige que os provedores implementem medidas de segurança apropriadas e proporcionais. Embora seja uma orientação em vez de uma lei direta, **Rob Bratby**, sócio-gerente da **Bratby Law**, explica que ela serve como um "critério" crítico. Desviar sem um motivo defensável, ele observa, pode levar a multas de até dez por cento do faturamento. ## Proteções Chave Abandonadas ou Adiada Várias proteções cruciais foram abandonadas ou adiadas: * **Sistemas Independentes de Detecção de Intrusão de Sinalização:** Um requisito para os provedores implantarem um sistema separado – idealmente de um fornecedor diferente – para monitorar o tráfego de saída em busca de controles contornados foi descartado. Esses sistemas foram projetados para detectar os métodos de roubo de dados característicos da campanha **Salt Typhoon**, que afetou mais de 80 países. * **Sinalização de Entrada Não Confiável:** A exigência para que as empresas de telecomunicações tratassem a sinalização de entrada como não confiável por padrão também foi removida. Atacantes frequentemente exploram protocolos de telecomunicações que assumem que mensagens de outras redes são confiáveis. * **Reinícios Mensais de Equipamentos de Rede:** Um requisito para reiniciar equipamentos de rede mensalmente, projetado para limpar malware sofisticado em memória, foi considerado inviável pelos provedores. As regras revisadas agora apenas recomendam reinícios "sempre que viável". * **Segurança de Contas de Serviço:** Requisitos para proteger contas de serviço – contas automatizadas em segundo plano com amplo acesso, identificadas pelo governo como um "alvo principal de comprometimento" – foram adiados do final de 2028 para o final de 2029. * **Mapeamento de Vulnerabilidades e Testes de Defesa:** Medidas que exigem que os provedores mapeiem suas vulnerabilidades, testem suas defesas e documentem a comunicação do sistema com o mundo exterior também foram adiadas de forma semelhante. O relatório de segurança de dezembro de 2025 da **Ofcom** já havia indicado que alguns dos maiores provedores da Grã-Bretanha provavelmente perderiam os prazos existentes para medidas de gerenciamento de identidade e acesso, uma área que inclui a segurança de contas de serviço. **Rob Bratby** expressou preocupação com o atraso nas contas de serviço, afirmando que é difícil conciliar com a própria avaliação de ameaças do governo. "As contas de serviço são exatamente onde um atacante capaz quer estar... e o governo diz isso em sua resposta." ## Um Cálculo de Proporcionalidade Unilateral Em resposta ao Recorded Future News, um porta-voz do **DSIT** declarou: "O Reino Unido já possui um dos quadros de segurança de telecomunicações mais fortes do mundo... Trabalhamos em estreita colaboração com o **NCSC** para garantir que o feedback da indústria seja considerado... juntamente com a ameaça de segurança em mudança, e os custos e praticidades de implementar essas novas medidas de orientação." No entanto, as avaliações de proporcionalidade para cada recuo seguiram consistentemente um padrão: uma medida foi proposta, os provedores objetaram ao seu custo ou praticidade, e a medida foi subsequentemente descartada, suavizada ou adiada. Crucialmente, nenhuma das avaliações publicadas levou em consideração o custo potencial de uma intrusão bem-sucedida por um estado hostil na infraestrutura de telecomunicações do Reino Unido. Sete dos maiores provedores da Grã-Bretanha apresentaram estimativas de custo confidenciais em uma pesquisa suplementar, que não foram publicadas. **Rob Bratby** argumentou que o padrão legal do governo exige uma contabilidade mais abrangente. "Um exercício de proporcionalidade que conta apenas o que a conformidade custa à indústria, e não o que um incidente custaria ao país, está incompleto em seus próprios termos." **Ciaran Martin**, agora professor na **Blavatnik School of Government** de Oxford, ecoou essas preocupações: "Você deve avaliar essas medidas contra o custo de danos prováveis à segurança nacional. Contra o que mais você está medindo?" Embora o governo tenha publicado anteriormente tais avaliações para outras legislações – estimando que os ataques cibernéticos custaram à economia britânica £ 14,7 bilhões (US$ 19,7 bilhões) anualmente para apoiar o **Cyber Security and Resilience Bill** – nenhuma análise equivalente foi produzida para o setor de telecomunicações. **Ollie Whitehouse**, diretor de tecnologia do **NCSC**, havia identificado anteriormente isso como um problema sistêmico em uma postagem de blog de junho de 2025. Ele argumentou que as decisões de investimento em cibersegurança frequentemente subestimam os custos posteriores, pois esses custos são arcados por clientes e pelo público, e não pelas empresas que fazem o investimento inicial. "O custo do subinvestimento em cibersegurança é, em última análise, suportado não pelos fornecedores, mas a jusante por clientes, seguradoras, o governo e a sociedade em geral", escreveu ele. Embora alguns recuos pudessem ser explicados como o processo normal de consulta, com a indústria demonstrando métodos de conformidade alternativos, a escala das mudanças e a falta de uma análise abrangente de custo-benefício levantam preocupações significativas sobre a preparação do Reino Unido contra ameaças cibernéticas sofisticadas patrocinadas por estados.