Internetproviders en mobiele operators zullen niet langer verplicht zijn om aan de minimale cyberbeveiligingsnormen te voldoen na een stemming van de Federal Communications Commission op donderdag.
De FCC stemde met 2-1 langs partijlijnen om de koers te veranderen beslissing in januari – aangenomen vier dagen vóór de inauguratie van president Donald Trump – vereist dat dienstverleners jaarlijks certificeringen afgeven waaruit blijkt dat ze “een plan voor cyberveiligheidsrisicobeheer hebben opgesteld, bijgewerkt en geïmplementeerd.”
Deze regel is van toepassing op verschillende bedrijven, waaronder mobiele operators, internetproviderradiostations en zelfs televisiezenders.
Deze nieuwe eisen zijn grotendeels een reactie op Zoutcycloon cyberaanvalin september vorig jaar, toen hackers gelinkt aan de Chinese overheid inbraken in de netwerken van Amerikaanse internetproviders zoals AT&T, Verizon en Lumen, eigenaar van CenturyLink en Quantum Fiber. De aanvaller heeft toegang gekregen tot miljoenen metadata van klantoproepen en sms-berichten En naar verluidt opgenomen audio-opnamen van mensen die betrokken waren bij de campagnes van Harris en Trump.
“Dit is een heel slecht idee. Het rolt de rode loper uit voor een nieuwe aanval”, vertelde Cooper Quintin, senior staftechnoloog bij de Electronic Frontier Foundation, aan CNET. “Ik kan niet genoeg benadrukken hoe groot de impact van orkaan Salt was. Het gaf hen toegang tot de communicatie van elke Amerikaan. Het had impact op iedereen, en er waren geen gevolgen voor telecommunicatiebedrijven behalve dat ze regelmatig rapporten moesten maken.”
Dus waarom de regels nu terugdraaien? FCC-voorzitter Brendan Carr zei dat de regel niet nodig was omdat oudere dienstverleners in het jaar sinds de Salt Typhoon-aanval “een versterkte cybersecurity-positie hadden getoond”.
Deze stap is het nieuwste hoofdstuk in Carr’s agenda ‘Verwijderen, verwijderen, verwijderen’die tot doel heeft een einde te maken aan ‘regelgevende aanvallen vanuit Washington’.
Democratische bezwaren kwamen snel. Mark Warner, vice-voorzitter van de inlichtingencommissie van de Senaat, zei het schrappen van de eis “waardoor we geen geloofwaardig plan hebben om de gaten aan te pakken die door Salt Typhoon zijn gecreëerd, inclusief fundamentele tekortkomingen zoals hergebruik van inloggegevens en de afwezigheid van multi-factor authenticatie voor accounts met hoge privileges.”
In een brief aan Carr Eerder deze week zei senator Maria Cantwell dat Typhoon Salt de Chinese regering toestond “miljoenen mensen te geolokaliseren” en “telefoongesprekken naar believen op te nemen”, en merkte op dat het incident op bijna elke Amerikaan gericht was.
“Jullie hebben nu voorgesteld om deze eis te laten vallen na uitgebreid lobbyen bij telecomoperatoren wier netwerken zijn gecompromitteerd door Chinese hackers”, zei Cantwell.
Carr verwierp deze bezwaren tijdens de bijeenkomst van vanochtend en zei: “Alles doen om te kunnen zeggen dat we iets hebben gedaan, is niet de oplossing.”
Blair Levin, voormalig stafchef van de FCC en analist in de telecommunicatie-industrie bij New Street Research, vertelde me dat hij Carr’s standpunt contra-intuïtief vindt.
“Als je de FCC ziet als een beschermer van het publieke belang in moderne communicatie, komt het idee dat je geen rol speelt in cyberveiligheid op mij opzettelijk bot over,” zei Levin.
Het besluit is een grote overwinning voor telecommunicatiebedrijven, die hebben gelobbyd om de regelgeving ongedaan te maken. In een brief die vorige maand naar de FCC werd gestuurdIndustriegroepen beweren dat decennialange cybersecurity-samenwerking tussen industrie en overheid betekent dat dergelijke regelgeving niet nodig is; ze “verzwakken deze systemen aanzienlijk en maken onze netwerken minder veilig.”
Toen ik dit citaat aan Quintin voorlas, lachte hij en deed het af als een woord van zeven letters.
“Als het feit dat ze aan iemand moeten rapporteren over hun cyberbeveiligingshouding, hen minder veilig maakt, dan hebben ze een slechte cyberbeveiliging”, zei hij.
Mis onze onpartijdige technische inhoud en laboratoriumbeoordelingen niet. CNET toevoegen als favoriete Google-bron.
Hoe u uzelf kunt beschermen tegen toekomstige cyberaanvallen
De FCC doet een stap terug in het toezicht op de veiligheid van onze netwerken, wat betekent dat dit erg belangrijk is het beoefenen van goede cyberbeveiliging jezelf. Hoewel de orkaan Salt zich op overheidsfunctionarissen richtte, zouden gewone Amerikanen het risico kunnen lopen op toekomstige aanvallen.
‘Jouw zorg of de mijne gaat meer over fraude en cybercriminaliteit,’ zei Quintin, waarbij hij dat punt benadrukte Sim-swap-aanvalHet onderscheppen van tweefactorauthenticatiecodes en fraudeurs die zich voordoen als uw bank of zorgaanbieder kunnen steeds vaker voorkomen.
Hier volgen enkele stappen die u nu kunt nemen om uzelf te beschermen en mogelijke schade te beperken:
Stel sterke wachtwoorden in en gebruik altijd multifactor-authenticatie. De jouwe wachtwoord ze moeten allemaal uniek en lang zijn, met een verscheidenheid aan speciale tekens, letters en cijfers. Als het onmogelijk klinkt om te onthouden, zou dat zo moeten zijn. Goed wachtwoordbeheerder zal het zware werk voor u doen. Als u ontdekt dat een van uw wachtwoorden is gecompromitteerd als gevolg van een inbreuk, wijzig dit dan zo snel mogelijk.
Pas op voor phishing-aanvallen. Datalekken bieden criminelen een geweldige kans om uw persoonlijke gegevens tegen u te gebruiken door frauduleuze e-mails, sms-berichten of berichten op sociale media te verzenden. Klik niet op links van afzenders die u niet herkent, en wees uiterst sceptisch over het delen van geld of persoonlijke informatie met personen of bedrijven die u niet heeft gecontroleerd.
Bewaak uw financiële rekeningen. Het is altijd een goed idee om uw bankrekeningen en creditcards in de gaten te houden, vooral wanneer u een melding ontvangt dat uw persoonlijke gegevens openbaar zijn gemaakt. U kunt ook accountwaarschuwingen instellen om u te waarschuwen wanneer er een grote transactie is uitgevoerd.
Gebruik een VPN. Als u zich zorgen maakt over een Salt Typhoon-achtige aanval van een buitenlandse overheid of iemand anders, kunt u het beste doen om ervoor te zorgen dat uw verbinding privé blijft: gebruik een betrouwbare VPN. Zoek naar geavanceerde functies zoals verwarring, Tor via VPN en dubbele VPN, die een tweede VPN-server gebruikt voor een extra coderingslaag. Jij ook installeer VPN op uw router direct zodat al uw verkeer automatisch wordt gecodeerd.
