Amerika Birleşik Devletleri Federal İletişim Komisyonu (FCC), internet servis sağlayıcılarının (ISS) ağlarını güvence altına alma zorunluluğunu getiren bir düzenlemeyi iptal etme kararı aldı. Kasım ayında oylanacak bu karar, ISS'leri temsil eden büyük lobici grupların talebi üzerine harekete geçildi.
FCC Başkanı Brendan Carr, Ocak ayında Cumhuriyetçilerin komisyon çoğunluğunu elde etmesinden hemen önce benimsenen düzenlemenin, kurumun yetkisini aştığını ve ilgili siber güvenlik tehditlerine etkili veya çevik bir yanıt sunmadığını belirtti. Carr, Kasım ayında yapılacak oylamanın, ISS'lerin siber güvenlik savunmalarını güçlendirmek için önemli adımlar attığı "kapsamlı FCC görüşmeleri" sonrasında gerçekleştiğini ekledi.
Ocak 2025'te yapılan FCC düzenleyici kararı, Çin'in gerçekleştirdiği saldırılara, özellikle de büyük telekomünikasyon sağlayıcılarının veri tabanlarına yapılan sızma girişimlerine bir yanıt niteliği taşıyordu. Bu saldırılar, telekom ağlarındaki güncel olmayan ekipmanları ve temel siber güvenlik protokollerinden yoksun bileşenleri hedef almıştı.
Dönemin FCC yönetimi, kanunların telekomünikasyon taşıyıcılarını, yetkisiz erişim veya iletişimin gizlice dinlenmesine karşı ağlarını güvence altına almakla yükümlü tuttuğunu belirtmişti. Bu yükümlülüğün, kullanılan ekipmanların yanı sıra ağ yönetimini de kapsadığı vurgulanmıştı.
ISS'ler İstediğini Alıyor
Alınan kararın yanı sıra, ağların yetkisiz dinlemelere karşı daha sıkı bir şekilde güvence altına alınmasını gerektirecek adımlar öngören bir düzenleme önerisi de bulunuyordu. Carr o dönemde bu karara karşı oy kullanmıştı.
Düzenleyici karar henüz spesifik kurallar içermese de, FCC o dönemde mevcut düzenlemelerin bir gücü olduğunu ifade etmişti. Kanuni yükümlülükleri yerine getirmek için temel siber güvenlik uygulamalarına uyulmasının gerekliliği vurgulanmış, örneğin rol bazlı erişim kontrolleri, varsayılan şifrelerin değiştirilmesi, minimum şifre gücü gerekliliği ve çok faktörlü kimlik doğrulama gibi önlemlerin hassas bilgisayar sistemleri için gerekli olduğu belirtilmişti. Bilinen güvenlik açıklarının giderilmemesi veya tespit edilen istismarlara yanıt olarak gerekli en iyi uygulamaların kullanılmaması, kanuni yükümlülüklerin yerine getirilmesinde yetersiz kalacağı ifade edilmişti.
Kablo, fiber ve mobil operatörler bu karara itirazda bulundu. Şubat ayında yapılan bir başvuruda, FCC'den bu kararı tersine çevirmesi talep edildi. Telekom lobisi grupları, kanunların yalnızca kolluk kuvvetleri için yasal dinlemeleri kolaylaştırmakla yükümlü olduğunu ve FCC'nin teknik standartlar belirleme yetkisine sahip olmadığını savundu.
Kasım ayında oylanacak kararın taslağında FCC, düzenleyici kararı "hukuka aykırı ve gereksiz" bularak iptal edeceğini belirtti. Kararın, FCC'nin kanun yorumunun hukuki olarak hatalı ve siber güvenliği teşvik etmede etkisiz olduğu sonucuna varıldığı belirtildi. Düzenleme önerisi de geri çekilecek ve FCC'nin, tüm lisanslıları kapsayan tek bir düzenleme yerine, etkili siber güvenlik önlemlerini teşvik etmek için "hedefli bir yaklaşım" izleyeceği ifade edildi.
Gönüllü Taahhütler Yeterli, FCC'den Açıklama
FCC yönetimi, ISS'lerden gelen taahhütlerin yeni kurallara gerek bırakmadığı yönünde bir memnuniyet sergiliyor. Taslak kararda, ISS'lerin ağlarını daha güvenli hale getirmek için ek siber güvenlik kontrolleri uygulamayı kabul ettikleri belirtildi. Bu kontroller arasında güncel olmayan veya güvenlik açığı bulunan ekipmanların yamalanmasının hızlandırılması, erişim kontrollerinin güncellenmesi ve gözden geçirilmesi, gereksiz giden bağlantıların devre dışı bırakılması ve tehdit avı çabalarının iyileştirilmesi yer alıyor. ISS'ler ayrıca federal hükümetle ve iletişim sektörüyle daha fazla siber güvenlik bilgisi paylaşma taahhüdünde bulundular. Bu durumun, Ocak ayına kıyasla siber güvenlik uygulamalarında önemli bir değişiklik olduğu vurgulandı.
Karar, önceki FCC yönetiminin kanun yorumunun hukuka aykırı olduğunu, zira FCC'nin telekomünikasyon taşıyıcılarının ağlarının belirli bir bölümünde yasal dinlemelere izin verilmesini gerektiren bir kanunu, ağın her bölümünde spesifik ağ yönetimi uygulamalarını benimsemeyi gerektiren bir hüküm olarak okuduğunu savunuyor.
Kanun, her telekomünikasyon taşıyıcısının, iletişimlerin dinlenmesinin veya çağrı tanımlama bilgilerine erişimin, yalnızca bir mahkeme kararı veya diğer yasal yetkilendirmelerle ve Komisyonun yönetmeliklerine uygun olarak hareket eden bir taşıyıcı görevlisinin olumlu müdahalesiyle etkinleştirilebilmesini sağlamasını gerektiriyor.
Eski Başkan "Sağduyulu" Kararı Savunmuştu
Trump yönetiminden önce FCC, kanunun açık metninin düzenleyici kararı desteklediği argümanını öne sürmüştü.
O dönemde FCC, kanunun, dinlemenin yalnızca yasal yetkilendirmelere ve bir taşıyıcı görevlisinin olumlu müdahalesine göre etkinleştirilebileceğini "sağlamasını" zorunlu kılarak, başka yollarla iletişimlerin dinlenmesini veya çağrı tanımlama bilgilerine erişimi önleme yükümlülüğünü getirdiğini savunmuştu.
O dönemdeki FCC Başkanı Jessica Rosenworcel, Salt Typhoon gibi saldırılar nedeniyle FCC'nin kurallarını modernize etmesi gerektiğini belirtmişti. Saldırının, birçok yerel telekomünikasyon ve internet servis sağlayıcısını hedef aldığı ve güncellenmemiş tesisleri ile temel siber güvenlik protokollerinden yoksun ağ bileşenlerini istismar ederek yönlendiriciler ve anahtarlar gibi cihazları tehlikeye attığı ifade edilmişti.
Rosenworcel, FCC'nin düzenleyici kararının, telekomünikasyon taşıyıcılarının yasa dışı erişim ve dinlemelere karşı ağlarını güvence altına almakla yasal bir yükümlülüğe sahip olduğunu açıkça belirttiğini ve bunun "sağduyu" olduğunu söylemişti.
Carr yönetimindeki FCC ise güvenliği, "iletişim ağlarını koruyan ve güvence altına alan federal-özel ortaklıklar aracılığıyla "işbirlikçi" bir yaklaşımla ve daha hedefli, hukuki açıdan sağlam düzenleme ve yaptırımlar yoluyla ele alabileceğini belirtiyor.
