Yönetişim ve Risk Yönetimi , Gizlilik , Standartlar, Yönetmelikler ve Uyumluluk
Güncelleme, Telekomünikasyon Sektöründe 2007’den Beri İlk Kural Revizyonu Olacak
Mathew J. Schwartz (euroinfosec) •
9 Ocak 2023
Veri ihlallerinin artan ciddiyetine atıfta bulunan Federal İletişim Komisyonu, Cuma günü telekomünikasyon taşıyıcıları için ihlal raporlama gerekliliklerini güncellemek için bir kural oluşturma süreci başlattı.
Ayrıca bakınız: Şifreleme Yükseliyor! Kullanıcı Gizliliği ve Uyumluluğu ile Güvenliği Nasıl Dengeleyeceğinizi Öğrenin
Mevcut telekom ihlali raporlama gereklilikleri için önerilen güncellemeler, bunları, Verizon’un 6 milyon müşteriyi etkileyen yanlış yapılandırılmış bir bulut sunucusunun neden olduğu 2017 ihlali gibi ifşaları içerecek şekilde genişletecektir. En küçük taşıyıcılar dışında hepsi için geçerli olan ihlalleri bildirmek için mevcut yedi günlük pencereyi, onları bir ihlali “mümkün olan en kısa sürede” veya 24 saatten 72 saate kadar bir zaman dilimi içinde bildirmeye yönlendiren bir standart lehine ortadan kaldıracaktır. .
Ajans, telekomünikasyon, olayın müşterilere herhangi bir zarar vermeyeceğini makul bir şekilde belirleyebilirse ihlal bildirimlerinden vazgeçmeye istekli olabileceğini söylüyor – FCC’nin daha fazla yorum istediğini söylediği “zarara dayalı” bir standart. Ayrıca, telekomünikasyon şirketlerinin veri ihlali raporlarını, düzenlemelerin artık dikte ettiği şekilde yalnızca FBI ve Gizli Servis’e değil, ajans personeline göndermesini istiyor.
FCC Başkanı Jessica Rosenworcel, kural oluşturma süreci “tüketicileri daha iyi korumak, güvenliği artırmak ve gelecekteki ihlallerin etkisini azaltmak için veri ihlali raporlama kurallarımıza çok ihtiyaç duyulan ve yeni bir bakış atacak” dedi. Geçen Ocak ayında, en son 2007’de revize edilen kurumun veri ihlali düzenlemelerinde yapılan bir güncellemenin önizlemesini yaptı.
Demokratlar ve Cumhuriyetçiler arasında eşit olarak bölünmüş olan komisyonun dört üyesi de oybirliğiyle önerilen kural koyma bildirimini yayınlamayı kabul etti.
FCC’nin önerileri, büyük veri ihlalleri tüketiciler için sürekli bir risk oluşturduğundan gelir. 2021’de, dünyanın en iyi mobil operatörleri için metin mesajları yönlendiren Florida merkezli Syniverse, beş yıllık bir veri ihlaline maruz kaldığını ortaya çıkardı.
Aynı yıl, T-Mobile 77 milyon kişiyi etkileyen bir veri ihlaline maruz kaldı ve Sosyal Güvenlik numaraları, ehliyet numaraları, isimler, adresler, doğum tarihleri gibi bilgiler dahil olmak üzere 100 milyondan fazla şirket kaydının siber suç forumlarında satışa sunulmasına yol açtı. ve güvenlik PIN’leri. T-Mobile, 20 Ocak’ta yapılması planlanan bir mahkeme duruşmasında onaylanabilecek olan toplu dava davasını halletmek için 350 milyon dolarlık bir anlaşmaya vardı.
Teklifin arka planında, resmi Washington çevrelerinde, ulusal bir gizlilik yasasının şekli üzerinde henüz kongre konsensüsüyle eşleşmeyen daha güçlü tüketici gizliliği korumalarına duyulan ihtiyaç hakkında artan farkındalık yer alıyor. Federal Ticaret Komisyonu’nun 2021 tarihli bir personel raporu, internet servis sağlayıcılarının “önemli miktarda tüketici bilgisi” topladıkları ve web’de gezinme geçmişi, görüntüleme alışkanlıkları ve konumun ayrıntılı resimlerini oluşturmak için farklı kaynaklardan alınan verileri birleştirdikleri sonucuna vardı.
FCC, Obama yönetiminin son yılında, müşterilerin bilgilerini müşterilerin açık rızası olmadan satmalarını engelleyerek geniş bant sağlayıcılarına güçlü gizlilik gereksinimleri getirmeye çalıştı. Trump yönetiminin ilk aylarında Cumhuriyetçilerin çoğunlukta olduğu bir Kongre, FCC’nin ISP’leri daha yakından düzenleme çabasını geri almaya yönelik daha geniş bir çabanın ortasında, kuralı bozdu ve ajansın “ağ tarafsızlığı” başlığı altında ilerledi.
Biden yönetimindeki demokratlar, şimdiye kadar başarılı olamayan net tarafsızlığı yeniden canlandırma sözü verdiler. Senato tarafından onaylanan üçüncü bir Demokrat komiser olmadan FCC, yeni tüketici gizliliği korumalarıyla sonuçlanabilecek yeni bir ağ tarafsızlığı kural oluşturma sürecini başlatamaz.
2007’den Beri İlk Güncelleme
FCC’nin süreci, en son 2007’de rafine edilen kuralları güncellemeyi amaçlıyor. O sırada uygulanan değişiklikler arasında, İnternet Üzerinden Ses Protokolü sağlayıcıları da dahil olmak üzere telekomünikasyon operatörlerinin, müşteri verilerinin herhangi bir ihlali durumunda müşterileri ve federal yasa uygulayıcıları bilgilendirmesi gerekliliği yer alıyordu.
2007 veri ihlali yasalarının ana itici gücü, üçüncü bir tarafın, verilerin yetkili bir tarafı gibi davranarak müşteri verilerini elde etmesi uygulaması olan “bahane” idi. O zamanlar, bazı veri komisyoncuları, belirli bir telefon numarasından yapılan veya alınan aramalar gibi bilgileri satma yeteneklerinin reklamını yaptı. 2007 kuralı, taşıyıcıların bu bilgileri yalnızca müşteri tarafından oluşturulan bir parola aldıktan sonra yayınlamasını gerektiriyordu.
Yeni yargılamayla komisyon, kurallarını 2007’den bu yana gelişen federal ve eyalet düzeyindeki ihlal yasalarıyla uyumlu hale getirmeyi umduğunu, ancak yeni kuralların diğer yasaların önüne geçmeyeceğini söylüyor. Komisyon ayrıca, işitme veya konuşma engelli herkesin telefon araması yapmasına ve almasına olanak tanıyan telekomünikasyon aktarma hizmetleri için de tüm kuralların geçerli olmasını sağlamak istiyor.
İlerici savunuculuk grubu Public Knowledge önerilen kuralı övdü. Kıdemli başkan yardımcısı Howard Feld, “Çoğu insan veri gizliliğini internetle ilgili bir şey olarak görse de, telefonlarımız ve telefon bilgilerimiz en hassas kişisel bilgilerimizden bazıları olmaya devam ediyor” dedi.
Başkan Joe Biden, Ekim 2021’de Public Knowledge’in kurucu ortağı Gigi Sohn’u FCC’deki üçüncü Demokrat koltuğu doldurması için aday gösterdi. Onaylaması, Cumhuriyetçi muhalefet ve net tarafsızlığın tanınmış bir destekçisi olan Sohn’a karşı bir telekom lobi kampanyası tarafından tıkandı.