De când CALEA a fost introdusă în legislație în anii 1990, discuțiile privind nivelul de intervenție a statului în rețelele de comunicații reapar periodic pe agenda publică. Comisia Federală pentru Comunicații a SUA (FCC) a anulat o decizie din ianuarie 2025 care impunea operatorilor de telecomunicații din Statele Unite obligații mai stricte de securitate cibernetică ca răspuns la atacurile grupului Salt Typhoon.
În ianuarie 2025, aplicându-se Secțiunea 105 din CALEA, FCC a emis o hotărâre declaratorie însoțită de o notificare pentru propuneri de reglementare. Propunerea solicita furnizorilor de telecomunicații să creeze și să implementeze planuri de management al riscurilor cibernetice, să trimită certificări anuale către FCC care să ateste conformitatea cu aceste planuri și, în termeni mai generali, să trateze securitatea rețelelor ca pe o obligație legală. Inițiativa venea ca reacție la breșa Salt Typhoon, o serie de atacuri dezvăluite în octombrie 2024, în care grupul a pătruns în sisteme centrale ale unor mari operatori pentru a spiona comunicații private.
Operatorii telecom au reacționat imediat prin lobby, iar senatorul Maria Cantwell a înaintat un memoriu argumentând că noul cadru ar fi prea oneros pentru operațiunile firmelor. Sub presiunile acestea și după schimbarea conducerii FCC, agenția a considerat că hotărârea inițială era prea rigida și a revocat-o, retrăgând și notificarea pentru propuneri. Comunicatul FCC a afirmat că analiza juridică care susținea regula precedentă era defectuoasă și că măsurile propuse nu ar fi funcționat eficient în forma propusă.
Totodată, FCC a subliniat că furnizorii de servicii de comunicații au adoptat, totuși, măsuri consistente pentru a-și consolida securitatea după incidentele Salt Typhoon și că vor continua cooperarea pentru a diminua riscurile la adresa securității naționale. Miza este clară: autoritățile caută soluții care să apere infrastructura critică, iar operatorii doresc reguli aplicabile în practică, fără a le paraliza activitatea cu birocrație suplimentară. De aici apar conflictele: cine stabilește ritmul și conținutul schimbărilor, regulatorul sau piața.
Atacurile Salt Typhoon, atribuite unei campanii de spionaj cu legături la nivel chinez, au vizat operatori majori precum Verizon, AT&T, Lumen Technologies, T-Mobile, Charter Communications, Consolidated Communications și Windstream. Hackeri au reușit să pătrundă în sisteme centrale folosite de guvernul federal pentru interceptări autorizate de instanță și ar fi putut obține informații sensibile, inclusiv comunicații ale unor oficiali. Accesul la astfel de infrastructuri ridică întrebări nu doar tehnice, ci și privind procedurile, controlul accesului și responsabilitatea partenerilor comerciali care administrează infrastructura vitală.
Decizia FCC a stârnit critici. Comisarul Anna M. Gomez a fost singura care a votat împotrivă, exprimându-și îngrijorarea că renunțarea la impunerea unor standarde clare transformă strategia de protecție într-o simplă speranță că operatorii vor face ce e necesar. Gomez a avertizat că Salt Typhoon nu este un incident izolat, ci parte dintr-o campanie mai amplă a unor actori susținuți de state, care acționează pe termen lung pentru a infiltra rețelele de telecomunicații. De asemenea, oficiali federali au spus că tentative similare de recunoaștere și exploatare continuă, iar rețelele rămân ținte valoroase pentru adversarii externi.
În paralel, senatorii Maria Cantwell și Gary Peters au trimis scrisori către FCC înainte de vot, cerând păstrarea măsurilor de securitate. Publicații specializate au solicitat declarații oficiale de la FCC pentru a clarifica decizia; răspunsuri au fost promise în funcție de evoluția situației. Pe scurt, dezbaterea s-a deplasat de la soluții uniforme către un model în care colaborarea dintre industrie și reglementator pare esențială, iar problema rămâne cum să se asigure transparență, verificare independentă și responsabilitate fără a împovăra operațiunile critice cu proceduri nepracticabile.
Salt Typhoon a fost descoperit în octombrie 2024. Cazul evidențiază tensiunea dintre un cadru legal precum CALEA și presiunea industriei pentru mai multă flexibilitate, dar și necesitatea unor mecanisme de verificare care să nu se bazeze exclusiv pe autoevaluare. Ce preferați: reguli stricte impuse de autorități sau un model bazat pe responsabilitatea și coordonarea din partea operatorilor?
Fii primul care comentează