Çin’in elindeki yaygın telekomünikasyon ihlalinin ardından ABD’li bir senatör, iletişim endüstrisinde siber güvenlik standartlarını uygulamaya yönelik bir yasa teklif ediyor ancak bunların ne kadar etkili olabileceği belirsiz.
Tuz Tayfunu (aka Earth Estries, FamousSparrow, GhostEmperor, UNC2286) geçtiğimiz günlerde Çin’in günlük tehdit aktörü olarak Volt Typhoon’u geride bıraktı. yılı aşkın süredir siber casusluk kampanyası AT&T, Verizon ve T-Mobile dahil en az sekiz telekomünikasyon şirketine karşı. Kazandıkları dikkate değerdi: Grup yalnızca sıradan Amerikalılar arasındaki aramalar ve kısa mesajlara ilişkin kapsamlı meta verileri çalmayı başarmakla kalmadı, aynı zamanda üst düzey hükümet yetkililerinin dahil olduğu aramalara eriştiği ve hatta bunları kaydettiği bildirildi. Aynı döneme ait raporlar, ihlallerin altını çizdi hem Trump hem de Harris kampanyaları ve Biden yönetimi. Onlar da küresel olarak aktif.
Bunun ardından ulusal güvenlik başarısızlığıSenatör Ron Wyden (D-Ore.), 10 Aralık’ta ABD telefon ağlarının güvenliğini sağlamayı amaçlayan yasa taslağını yayınladı. “Güvenli Amerikan İletişim Yasası” Federal İletişim Komisyonu’nun (FCC) telekomünikasyon şirketleri için yeni siber güvenlik kuralları yayınlamasını ve eski mevzuata dayalı olarak halihazırda uygulanmakta olan kuralları uygulamasını gerektirecektir.
Oklahoma’nın 5. bölgesinin eski kongre adayı Madison Horn, “Senatör Wyden, kritik altyapı güvenliğini ön plana çıkardığı için övgüyü hak ediyor” diyor. Ancak önerinin retorik olmaktan çok devrimci olduğunu öne sürüyor. “Daha güçlü siber güvenlik standartlarına yönelik çabası önemli, ancak açık olalım; talep ettiği şeylerin çoğu zaten mevcut.”
FCC Telekomünikasyon Güvenliğini Uygulama Konusunda İhmal Ediyor mu?
Bir basın açıklamasında, Wyden’ın personeli onun tasarısını çerçeveledi telekomünikasyon endüstrisinde büyük bir değişiklik olarak değil, bir uyandırma çağrısı olarak – “düzeltmek için” [the FCC’s] Federal yasaların zaten gerektirdiği telekomünikasyon güvenliği gerekliliklerini tam olarak uygulama konusundaki başarısızlığı.”
Söz konusu olan, Başlık I, Bölüm 105’tir. Kolluk Kuvvetleri Yasası için İletişim Yardımı (CALEA)Hangi:
Bir taşıyıcının iletişimin herhangi bir şekilde dinlenmesini sağlamasını gerektirir veya [call-identifying information] anahtarlama tesislerinde gerçekleştirilen erişim, yalnızca bir mahkeme kararına veya diğer yasal yetkiye uygun olarak ve Federal İletişim Komisyonu (FCC) düzenlemelerine uygun olarak hareket eden bir taşıyıcı memurunun veya çalışanın olumlu müdahalesi ile etkinleştirilebilir.
Wyden’ın tarafı, siber sistemlere özel bir önem verilmeden formüle edilen bu önerinin, “sağlayıcıların sistemlerini yetkisiz müdahalelere karşı korumasını gerektirdiğini ve FCC’ye bu gerekliliği uygulamak için düzenlemeler yapma yetkisi verdiğini” ileri sürüyor ve şunu ekliyor: “o zamandan bu yana geçen yıllarda, FCC bu hükmü hiçbir zaman tam olarak uygulamadı.”
FCC Başkanı Jessica Rosenworcel kabul ettigeçen hafta komiser arkadaşlarıyla paylaşılan bir Bildiri Kararı taslağında. Rosenworcel, Bölüm 105’in bu yorumunu onaylamanın yanı sıra, iletişim hizmetleri sağlayıcılarının (CSP’ler) yıllık raporlar sunmasını gerektiren bir teklif sunarak “gelecekteki siber saldırılara karşı iletişimi güçlendirecek bir siber güvenlik risk yönetimi planı oluşturduklarını, güncellediklerini ve uyguladıklarını doğruladı.” ” Senato’da yeni hazırlanan tasarıdan farklı olarak bu karar, kabul edilmesi halinde hemen yürürlüğe girecek.
Wyden’ın Telekomünikasyon Güvenlik Tasarısı’nda Gözden Kaçan Şeyler
Güvenli Amerikan İletişim Yasası, benzer şekilde, CSP’lerin yıllık güvenlik açığı testleri yürütmesini, belgelemesini ve raporlamasını ve FCC siber güvenlik uyumluluğunun yıllık değerlendirmeleri için bağımsız denetçilerle birlikte çalışmasını önermektedir. Her şeyden önce tasarı, FCC’nin bu ağlara yetkisiz erişimi engellemeyi amaçlayan siber güvenlik gerekliliklerini uygulayarak Bölüm 105’in ruhunu uygulamasını öneriyor.
Bunlar Amerikan iletişimine yönelik bir sonraki Salt Typhoon tarzı saldırıyı önlemek için gerekli adımlar mı?
Horn’a göre, “Sorun kuralların eksikliği değil. Telekomünikasyon şirketlerinin FCC kurallarına, NIST standartlarına ve ISO 27001 protokollerine uyması gerekiyor. Yıllık siber güvenlik sertifikaları düzenliyorlar, ihlalleri birden fazla kuruma rapor ediyorlar – CISA bunun en iyi örneği.” ve tedarik zinciri risklerini yönetmek Özellikle Huawei’nin etkisinden sonra tedarik zincirlerini güvence altına alma çabaları zaten önemli düzenleyici eylemlere yol açtı.”
Kuralların ve düzenlemelerin eksikliği yerine, “Bu büyük ölçüde bir kaynak ve ölçeklendirme sorunu. 800.000 mil fiber optik kablo ve 183.000 mil uzun mesafe fiber rotasını kapsayan bir ABD telekomünikasyon ağından bahsediyoruz. Deniz altı kablolarından ve uydu bağlantılarından bahsetmek gerekirse, bu ağın her mili yeni uç noktalar ve saldırı yüzeyleri sunuyor. Asıl zorluk, halihazırda sahip olduğumuz çerçevelerin daha hızlı uygulanabilmesini sağlamaktır. daha etkili ve bu anıtsal ölçekte.”
Yeni siber güvenlik yönergelerine uyum sağlamak için yeterli donanıma sahip olmayan hantal eski sistemler, siber güvenlik projeleri için yetersiz finansman ve ülke çapında yetersiz siber güvenlik yetenek havuzu da herhangi bir kalem hareketiyle düzeltilebilecek sorunlar değildir.
“Düşmanlarımız savaş hızında hareket ederken, biz evrak hızında hareket ediyoruz” diye yakınıyor. “Salt Typhoon gibi saldırılar politikalarımız başarısız olduğu için başarılı olmuyor; harekete geçme kapasitemiz tehdide ayak uyduramadığı için başarılı oluyor.”