ABD Federal İletişim Komisyonu, federal yasa uygulamalarını güçlendirmek ve telekomünikasyon şirketlerinin müşterilerini güvenlik ihlallerinden daha hızlı haberdar edebilmeleri için ihlal bildirimi gerekliliklerini modernize etmek istiyor.
Bugünün önerileri arasında telekomünikasyon şirketlerinin tüketicileri bir veri ihlali konusunda uyarmadan önce uyması gereken yedi günlük zorunlu sürenin kaldırılması yer alıyor.
Komisyon ayrıca telekomünikasyon taşıyıcılarının tüm önemli ihlalleri FBI, Gizli Servis ve FCC dahil olmak üzere çeşitli federal kurumlara bildirmesini istiyor.
FCC Başkanı Jessica Rosenworcel, “Müşterileri bilgilendirmeden önceki yedi iş günlük zorunlu bekleme süresini ortadan kaldırmayı, kasıtsız ancak zararlı veri ihlallerinin bildirilmesini zorunlu kılmayı ve ajansın büyük veri ihlallerinden haberdar edilmesini sağlamayı öneriyoruz” dedi.
Ajans ayrı bir basın açıklamasında, “FCC ayrıca, taşıyıcılar tarafından kasıtsız ihlallerin tüketiciye bildirilmesini ve tüm bildirilebilir ihlallerin FCC, FBI ve ABD Gizli Servisi’ne bildirilmesini zorunlu kılacak kurallarına açıklık getirmeyi öneriyor.”
Telekomünikasyon ve birbirine bağlı VoIP sağlayıcılarının federal kolluk kuvvetlerini ve müşterilerini veri ihlallerine karşı uyarmasını gerektiren ilk kural, 2007 yılında Komisyon tarafından kabul edildi.
FCC veri ihlali kuralları 15 yaşında. Bir güncelleme çok gecikti. Şimdi başlıyor. https://t.co/Lzul0Fkfja
— Jessica Rosenworcel (@JRosenworcel) 6 Ocak 2023
Son telekom saldırılarının ciddiyeti, FCC’nin veri ihlali kurallarının, diğer sektörleri kapsayan federal ve eyalet veri ihlali yasalarıyla uyumlu hale getirilmesi için bir güncellemeye ihtiyacı olduğunu gösteriyor.
Örneğin, Aralık ayında Comcast Xfinity müşterileri, iki faktörlü kimlik doğrulamayı atlayarak yaygın saldırılarda hesaplarının saldırıya uğradığını bildirdi.
Ekim ayında Verizon, ön ödemeli müşterilere hesaplarının ihlal edildiğini ve açıkta kalan kredi kartı bilgilerinin SIM değiştirme saldırılarında kullanıldığını bildirdi.
Raporlara göre, T-Mobile ayrıca 2018’den bu yana en az yedi ihlalden etkilendi ve en sonuncusu, Lapsus$ bilgisayar korsanlarının şirketin dahili sistemlerini ihlal etmesi ve özel T-Mobile kaynak kodunu çalmasının ardından ifşa edildi.
Son olarak AT&T, yüzbinlerce müşteriyi etkileyen üç ayrı veri ihlaline yönelik bir FCC soruşturmasını sonuçlandırmak için Nisan 2016’da 25 milyon dolar ödedi.
Rosenworcel, “Yasa, taşıyıcıların hassas tüketici bilgilerini korumasını gerektiriyor, ancak veri sızıntılarının sıklığı, karmaşıklığı ve ölçeğindeki artış göz önüne alındığında, tüketicileri korumak ve raporlama gerekliliklerini güçlendirmek için kurallarımızı güncellememiz gerekiyor” dedi.
“Bu yeni işlem, tüketicileri daha iyi korumak, güvenliği artırmak ve gelecekteki ihlallerin etkisini azaltmak için veri ihlali raporlama kurallarımıza çok ihtiyaç duyulan ve yeni bir bakış getirecek.”