Federal İletişim Komisyonu (FCC) bugün ABD’de internet kullanımını daha güvenli hale getirmek için adımlar attı, okullarda siber güvenliği artırmaya yönelik 200 milyon dolarlık bir programı onayladı ve geniş bant sağlayıcılarının Sınır Ağ Geçidi Protokolü (BGP) risk azaltma süreçleri hakkında rapor vermesini zorunlu kılmayı teklif etti.
Üç yıllık Okullar ve Kütüphaneler Siber Güvenlik Pilot Programı, K-12 okulları ve kütüphanelerinin geniş bant ağlarına yönelik artan siber tehditler ve saldırılarla mücadelede hangi siber güvenlik hizmetleri ve ekipmanının en iyi şekilde yardımcı olabileceğini araştıracak.
Pilot program, Komisyon’un “evrensel hizmet fonlarının okulların ve kütüphanelerin siber güvenlik ihtiyaçlarını desteklemek için kullanılıp kullanılamayacağını ve nasıl kullanılabileceğini daha iyi anlamasına ve bu büyüyen sorunla ortaklaşa mücadele etmek için öğrenilen dersleri federal ortaklarımızla paylaşmasına” yardımcı olacak.
Program, “gelişmiş siber güvenlikteki kazanımların, E-Rate’in okulları ve kütüphaneleri birbirine bağlama ve dijital eşitliği teşvik etme konusundaki başarısını baltalamamasını sağlamak için” FCC’nin E-Rate programından ayrı tutulacak.
Bu pilot program, FCC Başkanı Jessica Rosenworcel’in okullarda ve kütüphanelerde “herkesin, her yerde yüksek hızlı internet hizmetlerine erişebilmesi için” bağlantıyı iyileştirmeyi amaçlayan Sınırsız Öğrenin girişiminin bir parçasıdır. Bu girişim, okul otobüslerinde Wi-Fi’yi, Kabile topluluklarındaki kütüphaneler için E-Rate desteğini ve Wi-Fi bağlantı noktalarının ve kablosuz internet erişim hizmetlerinin tesis dışı kullanımı için E-Rate programından finansmanı destekliyor.
FCC Tarafından Hedeflenen BGP Güvenliği
BGP güvenlik girişimi, geniş bant hizmet sağlayıcıları için güvenlik standartlarını zorunlu kılma konusunda yetersiz kalıyor ve bunun yerine onlardan yalnızca bu çabaların etkinliği hakkında rapor vermelerini talep ediyor. Tedbir nihai hale getirilmeden önce kamuoyunun yorumuna açık olacak.
Geniş bant sağlayıcılarının “bilgiyi internet üzerinden yönlendirmek için kullanılan teknik protokol olan Sınır Geçidi Protokolü’ndeki (BGP) güvenlik açıklarını azaltmak için attıkları ve atmayı planladıkları adımlar hakkında gizli raporlar oluşturmaları” gerekecek. Ülkenin en büyük geniş bant sağlayıcılarının da BGP risk azaltma ilerlemelerini gösteren belirli kamu verilerini üç ayda bir sunmaları gerekecek.”
FCC bir basın bülteninde, ağlar arasındaki iletişim için yaygın olarak kullanılan onlarca yıllık protokolün “internet üzerinde bağımsız olarak yönetilen ağlar arasında trafik alışverişinde kullanılan bilgilere güveni sağlamak için içsel güvenlik özelliklerini içermediğini” söyledi. “BGP ulusal güvenlik uzmanları, kötü bir ağ aktörünün trafiği yeniden yönlendirmek için BGP erişilebilirlik bilgilerini kasten tahrif edebileceği yönündeki endişelerini dile getirdi. Bu ‘BGP korsanlıkları’ Amerikalıların kişisel bilgilerini açığa çıkarabilir; hırsızlığı, gaspı ve devlet düzeyinde casusluğu mümkün kılmak; ve kamunun veya kritik altyapı sektörlerinin güvendiği hizmetleri kesintiye uğratın.
Bugün kabul edilen Kural Yapma Teklifi Bildirisi, geniş bant internet erişim hizmeti sağlayıcılarının “gizli BGP güvenlik riski yönetimi planlarını en az yılda bir kez hazırlamasını ve güncellemesini” gerektirecektir. Bu planlar, ilerlemelerini ve BGP güvenliğinin kritik bir bileşeni olan Kaynak Genel Anahtar Altyapısını (RPKI) kullanan BGP güvenlik önlemlerini uygulama planlarını detaylandıracak.”
En büyük dokuz sağlayıcının ayrıca RPKI tabanlı güvenlik önlemlerinin uygulanmasındaki ilerlemeyi değerlendiren üç aylık verileri kamuya açık olarak sunması gerekecek. Bu büyük sağlayıcılar, belirli bir güvenlik eşiğini karşılamaları durumunda FCC’ye daha sonraki ayrıntılı planları sunmak zorunda kalmayacaklar.
Daha küçük geniş bant sağlayıcılarının planlarını Komisyona sunmaları gerekmeyecek, ancak talep üzerine bunları FCC’ye sunabilecekler.
BGP, China Telecom Tarafından 6 Kez Ele Geçirildi
Rosenworcel yaptığı açıklamada BGP’nin “üç peçete protokolü” olarak da bilindiğini kaydetti.
“1989’da, Vint Cerf gibi bilgisayar bilimcileri için bir yenilik olan internet hızla genişliyordu” dedi. “Ancak o dönemde internetin temel protokolleri bu büyümeyi kaldıramıyordu. Austin, Teksas’taki İnternet Mühendisliği Çalışma Grubu toplantısının öğle yemeği molasında, bir çift mühendis ketçap lekeli üç kağıt peçete üzerine BGP fikirlerinin taslağını çizdiler. Bir internet mühendisliği konferansının oturum aralarında geliştirilen kısa vadeli bir çözüm olması gereken şey bugün hala bizimle birlikte.”
Rosenworcel, Siber Güvenlik ve Altyapı Güvenliği Ajansı’na “ofisimle birlikte çalıştığı ve bu sorunu tartışmak üzere ortak bir BGP kamu forumu düzenlediği için” teşekkür etti.
Kendisi aynı zamanda Savunma Bakanlığı ve Adalet Bakanlığı’na “China Telecom’un BGP açıklarını ABD internet trafiğini en az altı kez yanlış yönlendirmek için kullandığını kayıtlarımızda kamuya açıkladıkları için” teşekkür etti.
“Bu ‘BGP ele geçirmeleri’ kişisel bilgileri açığa çıkarabilir, hırsızlığa, gasplara ve eyalet düzeyinde casusluğa yol açabilir” dedi. “Finans sektöründe olduğu gibi güvenlik gerektiren hassas işlemleri de bozabilirler.”