Federal İletişim Komisyonu Cuma günü açıkladı oybirliğiyle oylandı telekomünikasyon ağ operatörlerinin veri ihlallerini nasıl ve ne zaman ifşa ettiğine ilişkin değişiklikleri takip etmek.
İletişim Yasası’nın 222. Bölümü kapsamındaki mevcut kurallar 15 yıldan daha eskidir ve kuruluşların ihlalleri ABD Gizli Servisi’ne ve FBI’a yedi gün içinde bildirmesini gerektirir.
FCC Başkanı, FCC “eskimiş yedi iş günü zorunlu bekleme süresini ortadan kaldırmak” istiyor ve operatörlerin kuruma, yasa uygulayıcılara ve müşterilere büyük veri ihlallerini hızlı bir şekilde bildirmesini şart koşuyor, FCC Başkanı Jessica Rosenworcel dedi bir Beyan.
Rosenworcel, “Her zaman açık bağlantı, taşıyıcılarımızın kim olduğumuz, nerelere seyahat ettiğimiz ve kimlerle konuştuğumuz hakkında bir veri hazinesine erişimi olduğu anlamına gelir” dedi. “Bu son derece kişisel verilerin yanlış ellere geçmemesi hayati önem taşıyor.”
Telekom endüstrisindeki veri ihlalleri, ifşa kurallarının en son 2007’de güncellenmesinden bu yana daha yaygın ve ciddi hale geldi. Ülkenin en büyük taşıyıcılarının tümü ihlallerden etkilendi, ancak Ağustos 2021’de T-Mobile bir büyük veri ihlali yaygın olarak kaydedilen en büyük taşıyıcı ihlali olarak kabul edilir.
O sırada 2018’den bu yana açıklanan beşinci olay olan T-Mobile’a yönelik siber saldırı, en az kişisel verileri açığa çıkardı. 76.6 milyon kişi. Temmuz 2022’de T-Mobile, 500 milyon dolar ödemeyi kabul etti. toplu davayı halletmek olaydan kaynaklanmaktadır.
Müteakip olaylar, 2018’den bu yana T-Mobile’da genel olarak kabul edilen ihlallerin sayısını yediye çıkardı. Lapsu$ tarafından geçen yıl başlatılan saldırıMicrosoft, Nvidia, Samsung ve Uber gibi diğer büyük şirketleri hedef alan yüksek profilli ve üretken bir fidye yazılımı grubu.
“FCC ile ilgili çoğu şey gibi, bu da gecikmiş bir değişiklik” ZK Research’ün kurucusu ve baş analisti Zeus Kerravalae-posta yoluyla söyledi.
FCC, ihlal bildirimi değişiklikleri için sonraki adımları detaylandırıyor
FCC önerilen ilk değişiklikler Ocak 2022’de veri ihlali düzenlemelerini desteklemek için.
“Tehdit aktörleri, tüketicilere saldırma yöntemlerini kesinlikle geliştirdiler ve raporlama kuralları da değiştirilmelidir. Kerravala, bilgisayar korsanları için ana odak noktası olmaya devam ettikleri için telekomünikasyona odaklanmak iyi bir şey” dedi.
Ağ operatörlerinin “yaşama şeklimizin kritik bir bileşeni” olduğunu göz önünde bulundurarak, ajans bu kuralları her yıl yeniden gözden geçirmelidir.
FCC, “ihlal” tanımını müşteri bilgilerinin kasıtsız olarak ifşa edilmesini içerecek şekilde genişletmeyi planlıyor ve bir ihlal meydana geldiğinde operatörlerin paylaşması gereken ayrıntılar için minimum gereklilikleri benimsemesinin gerekip gerekmediği konusunda yorum arıyor.
“Tüketicilerin çoğunluğu yalnızca verilerinin kaybolmasını ve kötüye kullanılabileceğini önemsiyor. Bunun arkasında kimin olduğuna dair ayrıntılar genellikle kayboluyor.” Jason Rebholz, CISO, Corvus Insurancee-posta yoluyla söyledi.
FCC, kazara ihlalleri yeni bildirim kurallarına dahil ederek, telekom operatörlerini daha güçlü veri güvenliği uygulamaları benimsemeye teşvik etmeyi ve sektörün sistemik ağ güvenlik açıklarını belirleyip bunlarla yüzleşmesine yardımcı olmayı umduğunu söyledi.
Ajans ayrıca, ihlal raporlama düzenlemelerinin bir güvenlik görevlisiyle birlikte nasıl çalışabileceği konusunda yorum istiyor. yaklaşan yetki kritik altyapı sağlayıcılarının siber saldırıları ve fidye yazılımı ödemelerini Siber Güvenlik ve Altyapı Güvenliği Ajansına derhal bildirmesi için.
Bu raporlama kuralları, Kongre tarafından kabul edildi Kritik Altyapı için Siber Olay Raporlama Yasası uyarınca, kritik altyapıdaki kuruluşların büyük bir siber saldırıdan sonraki 72 saat veya fidye ödemesinden sonraki 24 saat içinde CISA’yı uyarmasını şart koşuyor.