FCC Thu Hồi Quy Tắc Bảo Mật Mạng Buộc Đối Với Nhà Cung Cấp Dịch Vụ Internet, Ưu Tiên Cam Kết Tự Nguyện

Ủy ban Truyền thông Liên bang (FCC) sắp bỏ phiếu vào tháng 11 về một đề xuất gây tranh cãi để hủy bỏ một phán quyết quan trọng bắt buộc các nhà cung cấp viễn thông phải bảo mật mạng của họ. Sự thay đổi chính sách quan trọng này xảy ra theo yêu cầu rõ ràng của các nhóm vận động hành động lớn đại diện cho các nhà cung cấp dịch vụ Internet (ISPs).

Chủ tịch FCC Brendan Carr đã tuyên bố rằng phán quyết ban đầu, được thông qua vào tháng 1 năm 2025 dưới thời lãnh đạo trước đây, “đã vượt quá thẩm quyền của cơ quan và không đưa ra một phản ứng hiệu quả hoặc linh hoạt đối với các mối đe dọa an ninh mạng liên quan.” Carr cho biết cuộc bỏ phiếu vào ngày 20 tháng 11 diễn ra sau khi FCC có “sự tham gia tích cực với các nhà khai thác” những người được cho là đã thực hiện “các bước đáng kể… để tăng cường khả năng phòng thủ an ninh mạng của họ.”

Phán Quyết Thời Kỳ Biden Nhử Bởi Mối Đe Dọa Máy Tính

Phán quyết tuyên bố tháng 1 năm 2025 của FCC thời kỳ Biden là một phản ứng trực tiếp với các cuộc tấn công mạng gia tăng, đáng chú ý là chiến dịch “Salt Typhoon” của Trung Quốc. Cuộc xâm nhập tinh vi này nhắm vào các nhà cung cấp viễn thông lớn, bao gồm các gã khổng lồ như Verizon và AT&T. Phán quyết khẳng định Đạo luật Hỗ trợ Truyền thông cho Thi hành Luật (CALEA) năm 1994, một đạo luật nền tảng, “đòi hỏi một cách tích cực các nhà cung cấp dịch vụ viễn thông phải bảo mật mạng của họ khỏi việc truy cập hoặc nghe lén trái phép thông tin liên lạc.”

Lúc bấy giờ, FCC đã làm rõ rằng nghĩa vụ của Điều 105 của CALEA mở rộng ra ngoài chỉ thiết bị được sử dụng, bao gồm cả “cách họ quản lý mạng của họ.” Điều này bao gồm đảm bảo an ninh chống lại các nhà cung cấp thiết bị đáng ngờ có thể “kích hoạt trái phép việc nghe lén hoặc các hình thức giám sát khác trong các cơ sở chuyển mạch của nhà cung cấp mà không có sự biết đến của họ.”

ISPs Vận Động Hành Động Thành Công Để Đảo Ngược

Phán quyết tuyên bố ban đầu cũng đặt nền tảng cho Thông báo về Quy định Đề xuất, vốn sẽ giới thiệu các quy định cụ thể và nghiêm ngặt hơn về an ninh mạng. Chủ tịch Carr, khi đó là một ủy viên, đã bỏ phiếu chống lại quyết định này.

Không có các quy định cụ thể tại thời điểm đó, quyết định tháng 1 nhấn mạnh tính hiệu lực ngay lập tức của phán quyết. Nó nêu rằng ngay cả khi không có quy định thêm nữa, các nhà khai thác sẽ khó đáp ứng nghĩa vụ CALEA của mình nếu không áp dụng “các thực hành an ninh mạng cơ bản.” Các ví dụ được trích dẫn bao gồm:

• Triển khai kiểm soát truy cập dựa trên vai trò
• Thay đổi mật khẩu mặc định
• Yêu cầu mật khẩu có cường độ tối thiểu
• Áp dụng xác thực đa yếu tố
• Vá các lỗ hổng đã biết

FCC đã cảnh báo rằng việc không sử dụng các thực hành tốt nhất như vậy sẽ có vẻ không đáp ứng được các yêu cầu theo luật định.

Tuy nhiên, các nhà khai thác cáp, sợi quang và di động đã phản đối mạnh mẽ phán quyết. Tháng 2, một đơn kiện để đảo ngược nó đã được nộp bởi các nhóm vận động hành động viễn thông quyền lực: CTIA – Hiệp hội Vô tuyến, NCTA – Hiệp hội Internet và Truyền hình, và USTelecom – Hiệp hội Băng thông rộng. Họ lập luận rằng phạm vi của CALEA bị giới hạn trong việc tạo điều kiện cho “việc nghe lén hợp pháp từ cơ quan thực thi pháp luật” và rằng FCC không có thẩm quyền để đặt “cấp kỹ thuật theo Điều 105.”

FCC Chuyển Đổi Sang “Cam Kết Tự Nguyện”

Dự thảo nghị định sắp được bỏ phiếu vào tháng 11 cho thấy FCC sẽ “hủy bỏ phán quyết tuyên bố là bất hợp pháp và không cần thiết, tìm thấy rằng cách giải thích của ủy ban về CALEA về mặt pháp lý là sai lầm và không hiệu quả trong việc thúc đẩy an ninh mạng.” Nó cũng sẽ thu hồi Thông báo về Quy định Đề xuất, thay vào đó chọn “một cách tiếp cận có mục tiêu để thúc đẩy các sản phẩm an ninh mạng hiệu quả hơn thay vì một cách tiếp cận một kích cỡ cho tất cả của một quy định duy nhất.”

Lãnh đạo FCC hiện bày tỏ sự tin tưởng vào các cam kết tự nguyện từ các nhà khai thác. Dự thảo nghị định nhấn mạnh các thỏa thuận từ các nhà cung cấp để thực hiện “các biện kiểm soát an ninh mạng bổ sung,” bao gồm:

• Vá các thiết bị lỗi thời hoặc dễ bị tấn công nhanh hơn
• Cập nhật và xem xét lại các kiểm soát truy cập
• Tắt các kết nối ra ngoài không cần thiết
• Cải thiện nỗ lực săn lùng mối đe dọa

Các nhà cung cấp cũng cam kết tăng cường chia sẻ thông tin an ninh mạng với cả chính liên bang và trong ngành, đánh dấu một thay đổi đáng kể so với thực hành vào tháng 1.

FCC hiện tại lập luận rằng cách giải thích của lãnh đạo trước đây về CALEA là “bất hợp pháp.” Họ cho rằng một đạo luật được thiết kế để đảm bảo việc nghe l điện thoại hợp pháp trong một phần cụ thể của mạng đã bị mở rộng sai lầm để bắt buộc “các thực hành quản lý mạng cụ thể ở mọi phần của mạng của họ.” CALEA, họ nhấn mạnh, yêu cầu các nhà khai thác đảm bảo việc nghe lén trong các cơ sở chuyển mạch của họ chỉ được kích hoạt theo lệnh của tòa án và có sự can thiệp của nhà khai thác.

C Chủ Trước Bảo Vệ “Bảo Mật Thông Thường”

Trước khi sự thay đổi đa số tại FCC, Chủ tịch Jessica Rosenworcel khi đó đã kiên quyết bảo vệ phán quyết tuyên bố là “thông thường.” Bà lập luận rằng văn bản rõ ràng của CALEA hỗ trợ một nghĩa vụ tích cực cho các nhà khai thác ngăn chặn việc nghe lén trái phép, nhấn mạnh rằng các nhà khai thác “phải đảm bảo” chỉ có việc nghe lén hợp pháp xảy ra.

Rosenworcel nhấn mạnh tính cần thiết của việc hiện đại hóa quy định trong bối cảnh các cuộc tấn công như Salt Typhoon, đã “xâm phạm chín nhà cung cấp dịch vụ viễn thông và Internet trong nước.” Các cuộc tấn công này khai thác “thiết bị cũ, các cơ sở chưa được cập nhật, và các thành phần mạng thiếu các giao thức an ninh mạng cơ bản.”

Dưới thời Chủ tịch Carr, FCC có kế hoạch giải quyết an ninh thông qua một chiến lược “hợp tác” hơn, tập trung vào “các đối tác liên bang-tư nhân bảo vệ và bảo mật mạng thông tin liên lạc và quy định, thực thi có mục tiêu và hợp pháp về mặt pháp lý.” Điều này đại diện cho một sự thay đổi đáng kể so với các quy định pháp lý trước đây được ủng hộ để tăng cường phòng thủ kỹ thuật số của quốc gia.