Federal İletişim Komisyonu (FCC), Salt Typhoon olarak bilinen Çinli tehdit grubunun gerçekleştirdiği büyük saldırının ardından ABD telekom operatörlerinin daha sıkı siber güvenlik önlemleri almasını gerektiren önceki bir kararı geri aldı.
Karar Ocak 2025’te geldi ve Salt Typhoon’un özel iletişimleri gözetlemek için birden fazla taşıyıcıyı ihlal etmesine yanıt olarak Kolluk Kuvvetleri için İletişim Yardımı Yasası (CALEA) kapsamında derhal yürürlüğe girdi.
CALEA’nın 105. Maddesi ile birlikte, tespit niteliğindeki karar, telekom şirketlerine yönelik olarak Önerilen Kural Oluşturma Bildirimi’ni (NPRM) içeriyordu:
- Siber güvenlik risk yönetimi planları oluşturun ve uygulayın
- Bunu yaptıklarını kanıtlayan yıllık FCC sertifikalarını gönderin
- Genel ağ siber güvenliğini yasal bir zorunluluk olarak ele alın
Senatör Maria Cantwell’in, yeni çerçeveyi çok hantal ve operasyonları açısından külfetli bulan bir mektubuna göre, telekomünikasyon şirketlerinin lobi faaliyetlerinden sonra, FCC şimdi önceki kuralın esnek olmadığını kabul ederek onu geri çekti.
FCC duyurusunda şu ifadeler yer alıyor: “Federal İletişim Komisyonu bugün, gidişatı düzeltmek ve Kanuni Uygulama Yasası (CALEA) için İletişim Yardımı’nı yanlış yorumlayan yasa dışı ve etkisiz önceki Tespit Kararını iptal etmek için harekete geçti.”
“Karar ayrıca, kısmen Tespit Kararının kusurlu hukuki analizine ve önerilen etkisiz siber güvenlik gerekliliklerine dayanan, Tespit Kararına eşlik eden bir NPRM’yi de geri çekiyor.”
Artık yeni liderlik altında olan FCC, iletişim hizmeti sağlayıcılarının Salt Tayfunu olaylarının ardından siber güvenlik duruşlarını güçlendirmek için önemli adımlar attıklarını ve ulusal güvenliğe yönelik riskleri azaltarak bu yolda koordineli bir şekilde ilerlemeye karar verdiklerini kaydetti.
Ekim 2024’te açıklanan Salt Typhoon saldırıları, aralarında Verizon, AT&T ve Lumen Technologies’in de bulunduğu birçok şirketi etkileyen bir Çin casusluk kampanyasıyla bağlantılıydı. [1]T-Mobile [2]Charter İletişimleri, Konsolide İletişimler [3]ve Rüzgar Akışı [4].
Bilgisayar korsanları, ABD federal hükümetinin mahkeme onaylı ağ telefon dinleme talepleri için kullandığı çekirdek sistemlere erişti ve potansiyel olarak hükümet yetkilileri seviyesine kadar son derece hassas bilgilere el koydu.
FCC’nin planı eleştirilerle karşılandı
Benzer hacker operasyonlarına ilişkin riskin değişmediği göz önüne alındığında, FCC’nin son kararı eleştirilerle karşılandı.
Mevcut karara karşı oy kullanan tek kişi olan Komisyon Üyesi Anna M. Gomez, siber güvenlik duruşlarını ve koruyucu önlemlerin etkinliğini kendi kendine değerlendirme konusunda telekom sağlayıcılarına güvenme konusundaki hayal kırıklığını dile getirdi.
“Onun [FCCs] Gomez, önerilen geri almanın bir siber güvenlik stratejisi olmadığını belirtti ve şöyle devam etti: “Bu, Amerikalıları Salt Typhoon ihlalinin keşfedildiği güne göre daha az koruyacak bir umut ve hayaldir.”
Gomez, açıklamasında “Salt Tayfunu tek seferlik bir olay değil, devlet destekli aktörlerin telekomünikasyon ağlarına uzun süreler boyunca sızmaya yönelik daha geniş bir kampanyasının parçasıydı” diye uyardı.
Yetkili, “Federal yetkililer, benzer keşif ve kullanım girişimlerinin bugün de devam ettiğini ve telekomünikasyon ağlarının yabancı düşmanlar için yüksek değerli hedefler olmaya devam ettiğini kamuoyuna açıkladı” dedi.
Senatörler Maria Cantwell ve Gary Peters da oylamadan önce FCC’ye, kurumu siber güvenlik önlemlerini sürdürmeye teşvik eden mektuplar gönderdiler.
BleepingComputer bir açıklama için FCC’ye e-posta gönderdi ve bir yanıt aldığımızda makaleyi güncelleyecek.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.