13 Mart’tan itibaren telekomünikasyon şirketleri, FCC’nin güncellenen veri ihlali raporlama gereksinimlerinin gerektirdiği şekilde, müşterilerin kişisel bilgilerini etkileyen veri ihlallerini 30 gün içinde bildirmek zorunda kalacak.
FCC’nin nihai kuralı, Ocak 2023’ten bir yıl önce, Ocak 2024’te yayınlanan ve ilk olarak Ocak 2022’de dağıtılan birkaç önerinin ardından geliyor. Bu öneri, telekom operatörlerinin müşterilerini güvenlik ihlallerini mümkün olduğunca hızlı bir şekilde bilgilendirmesi için komisyonun ihlal bildirim kurallarının modernleştirilmesine odaklanıyor.
Güncellenen veri ihlali raporlama kuralları, “telekomünikasyon sağlayıcılarının, birbirine bağlı İnternet Üzerinden Ses Protokolü (VoIP) ve telekomünikasyon aktarma hizmetlerinin (TRS) sağlayıcılarının, hassas müşteri bilgilerini koruma ve müşterilere gerekli araçları sağlama yükümlülüklerinden sorumlu tutulmasını sağlamayı amaçlamaktadır. Verilerinin tehlikeye girmesi durumunda kendilerini korumaları gerekiyor.”
İhlal bildirimi gereksinimlerinin kapsamını müşterinin özel ağ bilgilerinin (CPNI) ötesinde, kişisel olarak tanımlanabilir bilgilere (PII) kadar genişletir ve ayrıca “müşteri bilgilerine yanlışlıkla erişim, kullanım veya ifşa”yı da içerir.
FCC, “Yukarıdaki PII kategorileri için ihlal bildirimlerini gerektiren bir FCC kuralı olmasaydı, Federal yasada telekomünikasyon operatörlerinin CPNI dışı ihlalleri müşterilerine bildirmelerine ilişkin bir gereklilik olmazdı” dedi.
ABD iletişim düzenleyicisi ayrıca taşıyıcıların müşterileri bilgilendirmesi için zorunlu bekleme süresini de kaldırdı ve onlara ilgili federal kurumları uyardıktan sonra kapsam dahilindeki verilerle ilgili ihlalleri derhal müşterilere bildirme zorunluluğu getirdi.
Ancak, kolluk kuvvetleri tarafından daha uzun bir gecikme zorunlu kılınmadığı sürece bildirim gecikmesi, ihlalin tespit edilmesinden itibaren 30 günü aşmamalıdır.
FCC Başkanı Jessica, “Cep telefonlarımız avuçlarımızda, ceplerimizde ve çantalarımızda. Onlar olmadan nadiren bir yere gideriz. Bunun iyi bir nedeni var; istediğiniz zaman ve neredeyse her yerden ulaşabilmenin rahatlığı ve güvenliği çok güçlü” dedi. Ocak ayında Rosenworcel.
“Ancak bu her zaman açık bağlantı, operatörlerimizin kim olduğumuz, nerelere seyahat ettiğimiz ve kimlerle konuştuğumuza ilişkin bir veri hazinesine erişebileceği anlamına geliyor. Bu son derece kişisel verilerin, gizlilik kapsamına girmemesi hayati önem taşıyor. yanlış eller.”
Tüm büyük ABD telekom operatörleri büyük ihlallerden etkilendi
Son yıllardaki büyük telekom veri ihlalleri, FCC’nin veri ihlali kurallarını, diğer sektörler için geçerli olan federal ve eyalet veri ihlali yasalarıyla uyumlu hale getirmek için güncelleme ihtiyacını ortaya çıkardı.
Örneğin Aralık 2022’de yaygın saldırılar iki faktörlü kimlik doğrulamayı atladı ve Comcast Xfinity müşterilerinin hesaplarını ele geçirdi.
İki ay önce Verizon, ön ödemeli müşterilerini, daha sonra SIM değiştirme saldırılarında kullanılan kredi kartı bilgilerinin açığa çıktığı bir ihlal konusunda bilgilendirmişti.
T-Mobile ayrıca 2018’den bu yana en az dokuz ihlale maruz kaldı; en sonuncusu ve en az zarar vereni, tehdit aktörlerinin bir aydan fazla bir süre boyunca yüzlerce müşterinin kişisel bilgilerine erişmesinin ardından Mayıs 2023’te açıklandı. Şubat 2023.
Ocak 2023’te T-Mobile, Uygulama Programlama Arayüzlerinden (API’ler) birinin kötüye kullanılması yoluyla 37 milyon kişinin hassas bilgilerinin çalınmasının ardından müşterilerini başka bir veri ihlali konusunda uyardı.
Son olarak, Nisan 2016’da AT&T, yüz binlerce müşteriyi etkileyen üç veri ihlaline ilişkin FCC soruşturmasını sonuçlandırmak için 25 milyon dolar ödedi.
FCC, telekomünikasyon şirketlerinin ve VoIP sağlayıcılarının federal kolluk kuvvetlerine ve onların müşterilerine herhangi bir veri ihlali konusunda bildirimde bulunmasını gerektiren ilk kuralını kabul etti.