La Federal Communications Commission voterà a novembre per ribaltare una sentenza che imponeva ai fornitori di telecomunicazioni di proteggere le proprie reti, agendo su richiesta dei maggiori gruppi di lobby che rappresentano i fornitori di Internet.
Il presidente della FCC Brendan Carr disse La sentenza, emessa a gennaio, poco prima che i repubblicani acquisissero il controllo della maggioranza della commissione, “ha superato l’autorità dell’agenzia e non ha fornito una risposta efficace o agile alle rilevanti minacce alla sicurezza informatica”. Carr ha affermato che il voto, previsto per il 20 novembre, arriva dopo “un ampio impegno della FCC con i vettori” che hanno “adottato passi sostanziali per rafforzare le loro difese di sicurezza informatica…”.
Gennaio 2025 della FCC Sentenza dichiarativa Il tifone SALT è arrivato come risposta agli attacchi della Cina, inclusa l’infiltrazione dei principali fornitori di telecomunicazioni come Verizon e AT&T. La FCC dell’era Biden ha scoperto che il Communications Assistance for Law Enforcement Act (CALEA), una legge del 1994, “richiede affermativamente agli operatori di telecomunicazioni di proteggere le loro reti dall’accesso illegale o dall’intercettazione delle comunicazioni”.
“La Commissione ha precedentemente riscontrato che la sezione 105 della CALEA crea un obbligo affermativo per un operatore di telecomunicazioni per evitare il rischio che fornitori di apparecchiature non affidabili “attivino illegalmente intercettazioni o altre forme di sorveglianza sui locali di commutazione dell’operatore a sua insaputa”, si legge nell’ordinanza di gennaio. “Con questa sentenza dichiarativa chiariamo che la responsabilità degli operatori di telecomunicazioni ai sensi dell’articolo 105 della CALEA si estende non solo alle apparecchiature che scelgono di utilizzare sulle loro reti, ma anche al modo in cui gestiscono le loro reti.”
Gli ISP ottengono ciò che vogliono
La sentenza dichiarativa è stata accompagnata da un avviso di proposta di regolamentazione che porterebbe a norme più severe che richiedono misure specifiche per proteggere le reti dalle intercettazioni non autorizzate. Carr all’epoca votò contro la decisione.
Anche se la norma dichiarativa non prevedeva ancora regole specifiche, la FCC affermò all’epoca di avere dei denti. “Anche in assenza di norme adottate dalla Commissione, come quelle proposte di seguito, riteniamo che difficilmente gli operatori di telecomunicazioni riusciranno a soddisfare i loro obblighi statutari ai sensi della Sezione 105 senza adottare alcune pratiche di base di sicurezza informatica per i loro sistemi e servizi di comunicazione”, si legge nell’ordinanza di gennaio. “Ad esempio, le pratiche igieniche di base della sicurezza informatica come l’implementazione di controlli di accesso basati sui ruoli, la modifica delle password predefinite, la richiesta di una sicurezza minima della password e l’adozione dell’autenticazione a più fattori sono richieste a qualsiasi sistema informatico sensibile. Inoltre, l’incapacità di applicare patch alle vulnerabilità note o di utilizzare le migliori pratiche note per soddisfare le statistiche richieste per soddisfare questa breve risposta. Obbligo.”
