Federal İletişim Komisyonu, 1994 tarihli bir telefon dinleme yasasını yeniden yorumlayarak telekomünikasyon taşıyıcılarına kapsamlı siber güvenlik gereklilikleri getirmeye çalışan tartışmalı Ocak 2025 Bildirgesi Kararını iptal etmek için önümüzdeki ay oy kullanacak.
Perşembe günü yayınlanan Yeniden Değerlendirme Kararında FCC, önceki yorumun hem yasal olarak hatalı hem de siber güvenliği teşvik etme konusunda etkisiz olduğu sonucuna vardı.
Bu geri dönüş, FCC’nin telekomünikasyon güvenliğine yaklaşımında dramatik bir değişime işaret ediyor; zorunlu gerekliliklerden gönüllü endüstri işbirliğine doğru ilerliyor; özellikle de Çin’in sponsor olduğu ve 2024’te en az sekiz ABD iletişim şirketini tehlikeye atan devasa Salt Typhoon casusluk kampanyasına yanıt olarak.
PATH’in Yeniden Yorumlanması
16 Ocak 2025’te – yönetim değişikliğinden sadece beş gün önce – FCC, Kanuni Uygulama Yasası’nın (CALEA) 105. bölümünün “telekomünikasyon operatörlerinin ağlarını yasa dışı erişime veya iletişimin kesilmesine karşı ağlarını korumasını olumlu bir şekilde gerektirdiğini” iddia eden bir Tespit Kararı kabul etti.
1994 yılında yürürlüğe giren CALEA, telekomünikasyon teknolojisi geliştikçe kolluk kuvvetlerinin yetkili elektronik gözetim yapma yeteneğini korumak için tasarlandı. Bölüm 105, özellikle bir taşıyıcının “tesis değiştirme” dahilindeki iletişimlerin dinlenmesinin yalnızca mahkeme kararıyla ve bir taşıyıcı çalışanının müdahalesiyle etkinleştirilebileceğini gerektirmektedir.
Ocak ayındaki karar, yasal telefon dinlemeye odaklanan bu dar hükmü aldı ve dramatik bir şekilde genişletti; bunu, taşıyıcıların tüm ağlarındaki tüm yetkisiz müdahaleleri önlemeleri gerektiği şeklinde yorumladı. Komisyon, operatörlerin, rol tabanlı erişim kontrolleri, varsayılan şifreleri değiştirme, minimum şifre gücü gerektirme ve çok faktörlü kimlik doğrulamayı benimseme gibi temel siber güvenlik uygulamalarını benimsemeden bu yükümlülükleri yerine getirmelerinin “olasılıksız” olacağını belirtti.
Kararda, “bu temel siber güvenlik hijyen uygulamalarının kurumsal düzeyde uygulanmasının gerekli olduğu” çünkü bir ağın herhangi bir bölümündeki güvenlik açıklarının, saldırganların gözetim sistemlerine yetkisiz erişim sağlamasına neden olabileceği vurgulandı. Komisyon tarafından kabul edilen resmi kurallar olmasa bile, taşıyıcıların belirli siber güvenlik uygulamalarını benimsememeleri durumunda yasal yükümlülükleri ihlal edebilecekleri sonucuna vardı.
Sektörel Geri Bildirim ve Yasal Sorular
CTIA – Kablosuz Birliği, NCTA – İnternet ve Televizyon Birliği ve USTelecom – Geniş Bant Derneği, kararın FCC’nin yasal yetkisini aştığını ve CALEA’yı yanlış yorumladığını öne sürerek 18 Şubat’ta yeniden değerlendirme için bir dilekçe sundu.
Yeni FCC bu endişeleri kabul etti ve Ocak ayındaki kararda üç temel yasal kusur buldu:
İcra Otoritesi: Komisyon, öncelikle bildirim ve yorum kuralları oluşturma yoluyla uygulama kurallarını kabul etmeden CALEA yorumunu uygulama yetkisinin olmadığı sonucuna vardı. CALEA bölüm 108, uygulama yetkisini FCC’ye değil mahkemelere vermektedir. Komisyon, daha önce CALEA gerekliliklerini uygulamak istediğinde, özellikle uygulama yetkisini kazanmak için bunları 2006 yılında kural olarak kanunlaştırdığını belirtti.
“Tesis Değiştirme” Sınırlaması: Bölüm 105, “anahtarlama tesislerinde gerçekleştirilen” müdahalelere açıkça atıfta bulunuyor, ancak kararın, taşıyıcıların tüm ağları genelinde yükümlülükler getirdiği görülüyor. Komisyon, bu genişlemenin açık yasal sınırları göz ardı ettiğini tespit etti.
“Müdahale” Tanımı: CALEA, Telefon Dinleme Yasası’nın “dinleme” tanımını içermektedir ve mahkemeler bu tanımı sürekli olarak iletimle eş zamanlı olarak ele geçirilen iletişimlerle – saklanan verilerle değil – sınırlı olarak yorumlamıştır. Kararın gerekli uygulamaları, 105. bölümün kapsamını aşarak hem aktarılan hem de kullanılmayan verileri hedef alıyor.
Yeni düzen, “Bu yasa dışıydı çünkü FCC, telekomünikasyon taşıyıcılarının ağlarının belirli bir bölümünde yasal telefon dinlemelerine izin vermesini gerektiren bir yasayı, taşıyıcıların ağlarının her bölümünde belirli ağ yönetimi uygulamalarını benimsemelerini gerektiren bir hüküm olarak okuduğunu iddia etti” diyor.
Sağlayıcı Taahhütlerinde Gönüllü Yaklaşım
FCC, zorunlu gereklilikler yerine, 2025 yılı boyunca işbirlikçi katılımın ardından iletişim sağlayıcılarının gönüllü taahhütlerine dikkat çekti. 16 Ekim’de tek taraflı olarak yapılan bir başvuruda, sektör birlikleri “operasyonel riskleri azaltmak, tüketicileri korumak ve ulusal güvenlik çıkarlarını korumak için kapsamlı, acil ve koordineli çabalar” hakkında ayrıntılı bilgi verdi.
Bu gönüllü önlemler şunları içerir:
- Güncelliğini yitirmiş veya hassas ekipmanlar için hızlandırılmış yama döngüleri
- Erişim kontrolleri güncellendi ve gözden geçirildi
- Yanal ağ hareketini sınırlamak için gereksiz giden bağlantılar devre dışı bırakıldı
- Tehdit avlama çabaları iyileştirildi
- Federal hükümetle ve iletişim sektörüyle artan siber güvenlik bilgi paylaşımı
- Gerçek zamanlı tehdit istihbaratı paylaşımı için İletişim Siber Güvenliği Bilgi Paylaşımı ve Analiz Merkezinin (C2 ISAC) kurulması
- ABD’li ve Kanadalı sağlayıcıların Bilgi Güvenliği Baş Yöneticileri için yeni işbirliği forumu
Endüstri birlikleri, hükümet-sanayi ortaklığı işbirliği modelinin iletişim sağlayıcılarının Salt Typhoon’a hızlı ve çevik bir şekilde yanıt vermesini, saldırının açığa çıkardığı güvenlik açıklarını azaltmasını ve ağ siber savunmalarını güçlendirmesini sağladığını belirtti.
Tuz Tayfunu Bağlamı
Eylül 2024’te açıklanan Salt Typhoon saldırıları, düzinelerce ülkeyi etkileyen büyük bir casusluk kampanyasının parçası olarak ABD iletişim şirketlerine sızan Çin Halk Cumhuriyeti’nin sponsorluğundaki gelişmiş kalıcı tehdit grubunu içeriyordu. Kritik olarak, saldırılar sıfır gün güvenlik açıklarından ziyade genel olarak bilinen ortak güvenlik açıklarından ve maruziyetlerden (CVE’ler) yararlandı; bu da daha önce bilinmeyen kusurlar yerine önlenebilir zayıflıkları hedef aldıkları anlamına geliyor.
FCC, Salt Typhoon’un ardından taşıyıcılarla yaptığı anlaşmanın ardından sağlayıcıların, “Ocak ayında uygulanan önlemlere kıyasla siber güvenlik uygulamalarında önemli bir değişikliği” temsil eden ek siber güvenlik kontrolleri uygulamayı kabul ettiğini belirtti.
Ayrıca okuyun: Salt Typhoon Siber Saldırısı: FBI, ABD Telekomünikasyon Sistemlerinin Çin Halk Cumhuriyeti Bağlantılı İhlalini Araştırıyor
Hedefli Düzenleyici Faaliyetler Devam Ediyor
FCC, geniş CALEA yorumunu iptal ederken, açık yasal yetkiye sahip olduğu belirli alanlarda hedeflenen siber güvenlik düzenlemelerini takip etmeye devam ettiğini vurguladı:
- Denizaltı kablo lisansı sahiplerinin siber güvenlik risk yönetimi planları oluşturmasını ve uygulamasını gerektiren kurallar
- Ekipman yetkilendirme programındaki test laboratuvarlarının ve sertifikasyon kuruluşlarının yabancı rakipler tarafından kontrol edilmemesini sağlayan kurallar
- Ekipmanları FCC’nin Kapsanan Listesinde yer alan Çin Komünist Partisi bağlantılı işletmelere ilişkin soruşturmalar
- Ulusal güvenlik endişeleri nedeniyle HKT (International) Limited gibi kuruluşların yetkilerinin iptaline yönelik işlemler
Kararda, “Komisyon, Amerikalıları ve Amerikan şirketlerini yabancı düşmanlardan korumak için Komisyon’un düzenleyici, soruşturma ve uygulama otoritelerinin tüm yelpazesinden yararlanıyor” ifadesine yer verilirken, taşıyıcılarla işbirliğinin hedefe yönelik, yasal açıdan sağlam düzenleme ve uygulama tedbirleriyle birlikte sürdürülmesinin başarılı olduğu belirtiliyor.
FCC ayrıca, geniş bir yelpazedeki hizmet sağlayıcılar için özel siber güvenlik gereklilikleri öneren Ocak Bildirgesi Kararına eşlik eden Önerilen Kural Oluşturma Bildirimini de geri çekmeye karar verdi. NPRM hiçbir zaman Federal Kayıt’ta yayınlanmadı, dolayısıyla kamu yorumu dönemi hiçbir zaman başlamadı.
Komisyonun yeni yaklaşımı, belirli yüksek riskli alanlardaki hedeflenen düzenlemelerle desteklenen gönüllü endüstri işbirliğinin, şüpheli yasal temellerin kapsamlı talimatlarından muhtemelen daha etkili olacağı yönündeki iddiayı yansıtıyor.