La legislación de décadas de antigüedad que exige a las empresas de telecomunicaciones estadounidenses bloquear sus sistemas para evitar que fisgones extranjeros intercepten las comunicaciones no es una mera decoración en las páginas de los libros de derecho; en realidad significa que los operadores deben proteger sus redes, se enfadó la FCC.
El jueves, el regulador estadounidense emitió un fallo formal según el cual los operadores de telecomunicaciones estatales tienen la obligación legal, según la sección 105 de la Ley de Asistencia en Comunicaciones para el Cumplimiento de la Ley (CALEA, por sus siglas en inglés) de proteger sus sistemas contra el acceso ilegal o la interceptación de las comunicaciones. Tenga en cuenta que esto deja la puerta abierta para que los federales obtengan acceso autorizado por los tribunales a las comunicaciones de las personas, generalmente para investigar delitos. Por otro lado, al menos hay que mantener alejados a los delincuentes y a los adversarios extranjeros. Esta aclaración entra en vigor de inmediato.
Esto es parte de los esfuerzos más amplios del Tío Sam para defenderse agentes chinos irrumpir en las redes informáticas de Estados Unidos para recopilar información de inteligencia. Pekín Tifón de sal Los espías recientemente comprometieron a empresas de telecomunicaciones, incluidas AT&T y Verizon, dando a los intrusos la capacidad de geolocalizar a millones de suscriptores, monitorear su tráfico de Internet y grabar sus llamadas telefónicas, y antes de eso, redes federales.
Irónicamente, los fisgones secuestraron los sistemas de vigilancia desplegados por las empresas de telecomunicaciones bajo CALEA para permitir a los federales intervenir los teléfonos sospechosos y recopilar detalles sobre sus actividades digitales y en línea; China volvió contra nosotros mismos nuestro propio aparato de espionaje.
Para darle una idea del nivel de clusterfsck que enfrenta Estados Unidos: el FBI considera que Salt Typhoon robó meses de registros de llamadas y mensajes de texto de sus agentes, según Bloomberg, que citado un documento que decía que la tripulación comprometió todos los dispositivos del FBI que utilizaban el servicio de AT&T para agencias de seguridad pública.
La oficina federal se negó a comentar directamente sobre el informe y en cambio nos dijo: «El FBI adapta continuamente nuestras prácticas operativas y de seguridad a medida que evolucionan las amenazas físicas y digitales. El FBI tiene la responsabilidad solemne de proteger la identidad y la seguridad de cualquier individuo que contacte «El FBI y proporciona información todos los días que mantiene al pueblo estadounidense seguro, a menudo en riesgo para ellos mismos».
Le preguntamos a AT&T si el informe era correcto, y la empresa de telecomunicaciones lo confirmó más o menos, indicando que Salt Typhoon afectó a operaciones como las del FBI después de irrumpir en la red de la empresa de telecomunicaciones.
«Después de que los delincuentes robaran datos de clientes el año pasado, trabajamos estrechamente con las autoridades para mitigar el impacto en las operaciones gubernamentales. Apreciamos la investigación exhaustiva, que resultó en múltiples arrestos y acusaciones penales federales», dijo un portavoz. El Registro. «Dada la creciente amenaza de los ciberdelincuentes y los actores estatales, continuamos aumentando las inversiones en seguridad, así como monitoreando y reparando nuestras redes».
El viernes, el Departamento del Tesoro de Estados Unidos impuso sanciones sobre Yin Kecheng, que vive en Shanghai y fue acusado de estar involucrado en el reciente Compromiso de la red de tesorería. Los federales también sancionaron a Sichuan Juxinhe Network Technology, una empresa de ciberseguridad con sede en Sichuan que supuestamente tuvo una participación directa en las intrusiones del tifón de sal.
A medida que surgen más y más detalles sobre cómo Beijing está rompiendo la seguridad de las redes globales, obviamente en competencia con la NSALos llamados para actualizar CALEA, o simplemente hacerla cumplir, han aumentado.
Cuando EL CAMINO fue adoptado en 1994, requería, como bromeamos anteriormente, que los proveedores de telecomunicaciones diseñaran sus sistemas para cumplir con las solicitudes de escuchas telefónicas de las autoridades. En 2006, la FCC amplió este mandato para cubrir a los proveedores de Internet de banda ancha.
La ley también exigía que todos estos proveedores cubiertos protegieran sus redes, pero ese punto no se ha hecho cumplir.
Además del fallo formal de esta semana, la FCC emitió una propuesta que requiere que los proveedores de servicios de comunicaciones desarrollen e implementen planes integrales de gestión de riesgos de la cadena de suministro y ciberseguridad. Estos proveedores también deberían presentar una certificación anual a la FCC confirmando que estos planes han sido creados, actualizados e implementados.
Los planes de gestión de riesgos propuestos deben identificar posibles amenazas cibernéticas, detallar los controles implementados o planificados para mitigar estos riesgos y explicar cómo estos controles se aplican efectivamente a sus operaciones.
«Creemos que el mero acto de crear, actualizar e implementar planes de gestión de riesgos de ciberseguridad y cadena de suministro no sería suficiente por sí solo, sino que los planes de gestión de riesgos de ciberseguridad y cadena de suministro también deben ser razonables para evitar una violación independiente de las reglas propuestas», escribió la FCC (PDF).
«En respuesta al Salt Typhoon, ha habido un esfuerzo de todo el gobierno para comprender la naturaleza y el alcance de esta violación, qué debe suceder para eliminar esta exposición en nuestras redes y los pasos necesarios para garantizar que nunca vuelva a suceder», FCC La presidenta Jessica Rosenworcel añadió en un comunicado.
Rosenworcel primero planteó este plan en diciembre en respuesta a los espías del gobierno chino que irrumpieron en las redes de las empresas de telecomunicaciones, accedieron a grandes volúmenes de metadatos de clientes y robaron un número menor de llamadas telefónicas y mensajes de texto de personas.
Las incursiones del tifón de sal en las telecomunicaciones estadounidenses han generado preocupaciones sobre la eficacia de CALEA, particularmente porque las responsabilidades de los operadores de proteger sus redes según la ley no se han aplicado de manera consistente. Las violaciones de seguridad también han reavivado los llamados de legisladores y defensores de la privacidad para reforma la ley de décadas de antigüedad y eliminar las disposiciones que exigen las medidas impuestas por el gobierno antes mencionadas. puertas traseras de escuchas telefónicas en sistemas de comunicaciones. Puertas traseras que los adversarios claramente están felices de usar contra nosotros.
Históricamente, los federales han argumentado que las fuerzas del orden necesitan estas escuchas telefónicas para combatir el crimen y prevenir el terrorismo.
Para ser claros, la propuesta de la FCC no toca la parte de la ley sobre vigilancia de escuchas telefónicas. En cambio, se centra en fortalecer la protección de los sistemas de comunicaciones contra las ciberamenazas modernas.
«Nuestras reglas actuales no son modernas», dijo Rosenworcel en un comunicado (PDF). «Es hora de que los actualicemos para reflejar las amenazas actuales, de modo que tengamos la oportunidad de luchar para garantizar que los ciberataques patrocinados por el Estado no tengan éxito».
El fallo de la FCC se produce cuando la jefa de CISA, Jen Easterly, reveló esta semana que Salt Typhoon se detectó por primera vez en redes federales, antes de que los espías se introdujeran en AT&T, Verizony otros proveedores.
«Las acciones de la FCC hoy son un paso importante para proteger la infraestructura de telecomunicaciones del país contra la amenaza muy real planteada por la República Popular China y otros actores de amenazas», dijo Easterly en un comunicado. ®
