Nach einer Abstimmung der Federal Communications Commission am Donnerstag müssen Internetdienstanbieter und Mobilfunkanbieter keine Mindeststandards für Cybersicherheit mehr einhalten.
Die FCC stimmte parteiübergreifend mit 2:1 für eine Kehrtwende Urteil vom Januar – vier Tage vor der Amtseinführung von Präsident Donald Trump verabschiedet –, wonach Anbieter eine jährliche Zertifizierung ausstellen müssen, aus der hervorgeht, dass sie „einen Risikomanagementplan für Cybersicherheit erstellt, aktualisiert und umgesetzt haben“.
Die Regeln galten für ein breites Spektrum von Unternehmen, darunter Mobilfunkanbieter, InternetdienstanbieterRadiosender und sogar Fernsehsender.
Die neuen Anforderungen waren größtenteils eine Reaktion auf die Cyberangriff auf Salt TaifunIm September letzten Jahres brachen Hacker mit Verbindungen zur chinesischen Regierung in die Netzwerke von US-Internetanbietern wie AT&T, Verizon und Lumen ein, dem CenturyLink und Quantum Fiber gehören. Angreifer verschafften sich Zugang zu Millionen Anruf- und SMS-Metadaten von Kunden Und Berichten zufolge wurden Audioaufnahmen aufgenommen von Leuten, die sowohl an der Harris- als auch an der Trump-Kampagne beteiligt waren.
„Das ist so eine schreckliche Idee. Das rollt den roten Teppich für einen weiteren Angriff aus“, sagte Cooper Quintin, ein leitender Techniker der Electronic Frontier Foundation, gegenüber CNET. „Ich kann nicht genug betonen, wie wirkungsvoll Salt Typhoon war. Dadurch hatten sie Zugriff auf die Kommunikation aller Amerikaner. Es hatte Auswirkungen auf alle und es gab keine Konsequenzen für die Telekommunikationsunternehmen, außer dass sie einen regelmäßigen Bericht erstellen mussten.“
Warum also jetzt die Regeln zurücknehmen? FCC-Vorsitzender Brendan Carr sagte, die Regeln seien nicht notwendig, da längere Anbieter im Jahr seit den Salt-Typhoon-Angriffen bereits „eine gestärkte Cybersicherheitshaltung unter Beweis gestellt“ hätten.
Der Umzug ist das neueste Kapitel in Carrs „Löschen, Löschen, Löschen“-Agendadie darauf abzielt, den „Regulierungsangriff aus Washington“ zu beenden.
Die Einwände der Demokraten kamen schnell. Mark Warner, der stellvertretende Vorsitzende des Sonderausschusses für Geheimdienste des Senats, sagte die Abschaffung von Anforderungen „Wir haben keinen glaubwürdigen Plan, um die von Salt Typhoon aufgedeckten Lücken zu schließen, darunter grundlegende Fehler wie die Wiederverwendung von Anmeldeinformationen und das Fehlen einer Multi-Faktor-Authentifizierung für hochprivilegierte Konten.“
In einem Brief an Carr Anfang dieser Woche sagte Senatorin Maria Cantwell, dass der Salztaifun es der chinesischen Regierung ermöglicht habe, „Millionen von Menschen zu geolokalisieren“ und „Telefongespräche nach Belieben aufzuzeichnen“, und wies darauf hin, dass der Vorfall fast jeden Amerikaner getroffen habe.
„Sie haben nun vorgeschlagen, diese Anforderung aufzuheben, nachdem sich genau die Telekommunikationsbetreiber, deren Netzwerke von chinesischen Hackern gehackt wurden, stark dafür eingesetzt haben“, sagte Cantwell.
Carr wies diese Einwände bei der Sitzung heute Morgen zurück und sagte: „Alles zu tun, nur damit wir sagen können, dass wir etwas getan haben, ist nicht die Antwort.“
Blair Levin, ein ehemaliger Stabschef der FCC und Analyst der Telekommunikationsbranche bei New Street Research, sagte mir, dass er Carrs Position nicht intuitiv fand.
„Wenn man die FCC als Beschützerin des öffentlichen Interesses an moderner Kommunikation betrachtet, erscheint mir die Vorstellung, dass sie bei der Cybersicherheit keine Rolle spielt, absichtlich unverblümt“, sagte Levin.
Das Urteil ist ein großer Gewinn für Telekommunikationsunternehmen, die sich für die Aufhebung der Regeln eingesetzt haben. In einem Brief, der letzten Monat an die FCC gesendet wurdeIndustriegruppen argumentierten, dass die jahrzehntelange Cybersicherheitszusammenarbeit zwischen Industrie und Regierung dazu geführt habe, dass die Regeln nicht nur unnötig seien – sie würden „dieses System erheblich untergraben und unsere Netzwerke weniger sicher machen“.
Als ich Quintin dieses Zitat vorlas, lachte er und tat es mit einem Wort aus sieben Buchstaben ab.
„Wenn die Notwendigkeit, jemandem über seine Cybersicherheitslage zu berichten, ihn weniger sicher macht, dann hatte er eine schreckliche Cybersicherheit“, sagte er.
Verpassen Sie keinen unserer unvoreingenommenen technischen Inhalte und laborbasierten Bewertungen. CNET hinzufügen als bevorzugte Google-Quelle.
So schützen Sie sich vor zukünftigen Cyberangriffen
Die FCC geht bei der Überwachung der Sicherheit unserer Netzwerke einen Schritt zurück, was bedeutet, dass dies noch nie so wichtig war Üben Sie gute Cybersicherheit selbst. Während der Salt Typhoon Regierungsbeamte ins Visier nahm, könnten normale Amerikaner bei künftigen Angriffen gefährdet sein.
„Die Sorge für Sie oder mich dreht sich eher um Betrug und Cyberkriminalität“, bemerkte Quintin SIM-Swapping-Angriffedas Abfangen von Zwei-Faktor-Authentifizierungscodes und Betrüger, die sich als Ihre Bank oder Ihr Gesundheitsdienstleister ausgeben, könnten häufiger auftreten.
Hier sind einige Schritte, die Sie jetzt unternehmen können, um sich zu schützen und den möglichen Schaden zu mindern:
Legen Sie sichere Passwörter fest und verwenden Sie immer die Multifaktor-Authentifizierung. Dein Passwörter Alle sollten eindeutig und lang sein und eine Vielzahl von Sonderzeichen, Buchstaben und Zahlen enthalten. Wenn es unmöglich klingt, sich daran zu erinnern, sollte es so sein. Ein gutes Passwort-Manager übernimmt die schwere Arbeit für Sie. Wenn Sie erfahren, dass eines Ihrer Passwörter durch einen Verstoß kompromittiert wurde, ändern Sie es so schnell wie möglich.
Achten Sie auf Phishing-Angriffe. Datenschutzverletzungen bieten Kriminellen eine großartige Gelegenheit, Ihre persönlichen Daten gegen Sie auszunutzen, indem sie betrügerische E-Mails, Textnachrichten oder Social-Media-Nachrichten versenden. Klicken Sie nicht auf Links von Absendern, die Sie nicht kennen, und seien Sie äußerst skeptisch, wenn Sie Geld oder persönliche Informationen an Personen oder Unternehmen weitergeben, die Sie nicht überprüft haben.
Überwachen Sie Ihre Finanzkonten. Es ist immer eine gute Idee, Ihre Bankkonten und Kreditkarten im Auge zu behalten, vor allem aber, wenn Ihnen mitgeteilt wird, dass Ihre persönlichen Daten offengelegt wurden. Sie können auch Kontobenachrichtigungen einrichten, um Sie zu informieren, wenn eine große Transaktion durchgeführt wurde.
Verwenden Sie ein VPN. Wenn Sie sich Sorgen über einen weiteren Angriff einer ausländischen Regierung oder einer anderen Person im Salt-Typhoon-Stil machen, ist das Beste, was Sie tun können, um sicherzustellen, dass Ihre Verbindung privat bleibt Verwenden Sie ein vertrauenswürdiges VPN. Suchen Sie nach erweiterten Funktionen wie Verschleierung, Tor über VPN und ein Doppel-VPN, das einen zweiten VPN-Server für eine zusätzliche Verschlüsselungsebene verwendet. Das können Sie auch Installieren Sie ein VPN auf Ihrem Router direkt, sodass Ihr gesamter Datenverkehr automatisch verschlüsselt wird.
