Internetproviders en mobiele providers zullen niet langer verplicht zijn om aan de minimale cyberbeveiligingsnormen te voldoen na een stemming van de Federal Communications Commission donderdag.
De FCC stemde met 2-1 langs partijlijnen om de koers te veranderen Uitspraak van januari – dat vier dagen vóór de inauguratie van president Donald Trump werd aangenomen – vereiste dat providers jaarlijks een certificering moesten afgeven waaruit bleek dat ze “een plan voor cyberbeveiligingsrisicobeheer hebben opgesteld, bijgewerkt en geïmplementeerd.”
De regels waren van toepassing op een breed scala aan bedrijven, waaronder mobiele providers, internetprovidersradiostations en zelfs televisiezenders.
De nieuwe eisen waren grotendeels een reactie op de Zouttyfoon cyberaanvalin september vorig jaar, waarbij hackers gelinkt aan de Chinese overheid inbraken in de netwerken van Amerikaanse internetproviders zoals AT&T, Verizon en Lumen, eigenaar van CenturyLink en Quantum Fiber. Aanvallers hebben toegang gekregen tot miljoenen metagegevens van oproepen en sms-berichten van klanten En naar verluidt opgenomen audio-opnamen van mensen die betrokken waren bij zowel de Harris- als de Trump-campagnes.
“Dit is zo’n vreselijk idee. Dit is de rode loper uitrollen voor een nieuwe aanval”, vertelde Cooper Quintin, een senior staftechnoloog bij de Electronic Frontier Foundation, aan CNET. “Ik kan niet genoeg benadrukken hoe impactvol Salt Typhoon was. Hierdoor kregen ze toegang tot de communicatie van elke Amerikaan. Het had impact op iedereen, en er waren geen andere gevolgen voor de telecombedrijven dan dat ze regelmatig een rapport moesten genereren.”
Dus waarom de regels nu terugdraaien? FCC-voorzitter Brendan Carr zei dat de regels niet nodig zijn omdat langere providers in het jaar sinds de Salt Typhoon-aanvallen al “een versterkte cybersecurity-positie hebben getoond”.
De verhuizing is het nieuwste hoofdstuk in Carr’s agenda ‘Verwijderen, verwijderen, verwijderen’dat tot doel heeft een einde te maken aan de ‘regelgevende aanval vanuit Washington’.
Bezwaren van de Democraten kwamen snel. Mark Warner, de vice-voorzitter van de Senaatscommissie voor Inlichtingen, zei de afschaffing van eisen “Het laat ons achter zonder een geloofwaardig plan om de lacunes aan te pakken die door Salt Typhoon zijn blootgelegd, inclusief fundamentele tekortkomingen zoals hergebruik van inloggegevens en de afwezigheid van multi-factor authenticatie voor zeer bevoorrechte accounts.”
In een brief aan Carr eerder deze week zei senator Maria Cantwell dat de zouttyfoon de Chinese regering in staat stelde “miljoenen individuen te geolokaliseren” en “naar believen telefoongesprekken op te nemen”, waarbij hij opmerkte dat het incident op bijna elke Amerikaan gericht was.
“Jullie hebben nu voorgesteld om deze eis terug te draaien, na hevig lobbywerk van juist de telecommunicatiemaatschappijen waarvan de netwerken door Chinese hackers zijn gehackt”, aldus Cantwell.
Carr wuifde deze bezwaren tijdens de bijeenkomst van vanochtend weg en zei: “Iets doen alleen maar zodat we kunnen zeggen dat we iets hebben gedaan, is niet de oplossing.”
Blair Levin, voormalig stafchef van de FCC en analist in de telecomindustrie bij New Street Research, vertelde me dat hij Carr’s standpunt contra-intuïtief vond.
“Als je de FCC beschouwt als de beschermer van het publieke belang in moderne communicatie, komt het idee dat je geen rol speelt in de cyberveiligheid op mij moedwillig bot over,” zei Levin.
De uitspraak is een grote overwinning voor telecombedrijven, die hebben gelobbyd voor het intrekken van de regels. In een brief die vorige maand naar de FCC werd gestuurdIndustriegroepen voerden aan dat de decennialange cybersecurity-samenwerking tussen de industrie en de overheid ervoor zorgde dat de regels niet alleen onnodig waren, maar “dit systeem aanzienlijk ondermijnen en onze netwerken minder veilig maken.”
Toen ik dit citaat aan Quintin voorlas, lachte hij en verwierp het met een woord van zeven letters.
“Als het feit dat ze aan iemand moeten rapporteren wat hun cyberbeveiligingspositie is, hen minder veilig maakt, dan hadden ze een verschrikkelijke cyberbeveiliging”, zei hij.
Mis geen enkele van onze onpartijdige technische inhoud en laboratoriumbeoordelingen. CNET toevoegen als favoriete Google-bron.
Hoe u uzelf kunt beschermen tegen toekomstige cyberaanvallen
De FCC doet een stap terug in het toezicht op de veiligheid van onze netwerken, wat betekent dat dit nog nooit zo essentieel is geweest oefen goede cyberbeveiliging jezelf. Terwijl Salt Typhoon zich richtte op overheidsfunctionarissen, zouden gewone Amerikanen gevaar kunnen lopen bij toekomstige aanvallen.
“De zorg voor jou en mij gaat meer over oplichting en cybercriminaliteit”, zei Quintin, en merkte dat op Sim-swapping-aanvallenzou het onderscheppen van tweefactorauthenticatiecodes en oplichters die zich voordoen als uw bank of zorgaanbieder steeds gebruikelijker kunnen worden.
Hier zijn een paar stappen die u nu kunt nemen om uzelf te beschermen en de potentiële schade te beperken:
Stel sterke wachtwoorden in en gebruik altijd multifactor-authenticatie. Jouw wachtwoorden moeten allemaal uniek en lang zijn, met een verscheidenheid aan speciale tekens, letters en cijfers. Als dat onmogelijk klinkt om te onthouden, zou dat zo moeten zijn. Een goede wachtwoordbeheerder zal het zware werk voor u doen. Als u ontdekt dat een van uw wachtwoorden bij een inbreuk is gehackt, wijzig dit dan zo snel mogelijk.
Pas op voor phishing-aanvallen. Datalekken bieden criminelen een geweldige kans om uw persoonlijke gegevens tegen u te gebruiken door oplichtings-e-mails, sms-berichten of berichten op sociale media te sturen. Klik niet op links van afzenders die u niet herkent, en wees uiterst sceptisch over het uitdelen van geld of persoonlijke informatie aan personen of bedrijven die u niet heeft gecontroleerd.
Bewaak uw financiële rekeningen. Het is altijd een goed idee om uw bankrekeningen en creditcards goed in de gaten te houden, maar vooral als u een melding krijgt dat uw persoonlijke gegevens openbaar zijn gemaakt. U kunt ook accountwaarschuwingen instellen om u te laten weten wanneer een grote transactie is uitgevoerd.
Gebruik een VPN. Als u zich zorgen maakt over een nieuwe aanval in Salt Typhoon-stijl van een buitenlandse overheid of iemand anders, kunt u het beste doen om ervoor te zorgen dat uw verbinding privé blijft: gebruik een betrouwbare VPN. Zoek naar geavanceerde functies zoals verduistering, Tor via VPN en een dubbele VPN, die een tweede VPN-server gebruikt voor een extra coderingslaag. Dat kan ook installeer een VPN op uw router direct zodat al uw verkeer automatisch wordt gecodeerd.
