À medida que os Estados Unidos se apressam para expulsar a China de suas redes de comunicação, Jessica Rosenworcel, a presidente democrata da Comissão Federal de Comunicações, afirma que é vital que seu sucessor republicano mantenha uma supervisão rigorosa da indústria de telecomunicações.
O governo ainda está se recuperando da campanha de hackeamento “Salt Typhoon” da China, que penetrava em pelo menos nove empresas de telecomunicações dos EUA e dava a Pequim acesso a chamadas e mensagens de texto de americanos, além dos sistemas de escuta usados pela lei. A operação explorou a alarmante falta de segurança cibernética das operadoras dos EUA, incluindo uma conta de administrador da AT&T que não possuía proteções básicas de segurança.
Para evitar a repetição dessa intrusão sem precedentes, Rosenworcel usou os dias finais de sua liderança na FCC para propor novos requisitos de cibersegurança para os operadores de telecomunicações. Na quinta-feira, a comissão votou de forma apertada para aprovar sua proposta. Mas essas regras enfrentam um futuro sombrio, com o presidente eleito Donald Trump se preparando para assumir o cargo e o controle da FCC passando para o comissário Brendan Carr, um aliado de Trump que votou contra o plano regulatório de Rosenworcel.
Em uma entrevista dias antes da inauguração de Trump, Rosenworcel é categórica ao afirmar que a regulamentação é parte da resposta à crise de segurança das telecomunicações da América. E ela tem uma mensagem severa para os republicanos que acham que a solução é deixar que as telecomunicações se policiem.
“Estamos lutando contra o que foi descrito como o pior hack de telecomunicações na história de nossa nação”, diz ela. “Ou você toma uma ação séria ou não toma.”
“A Coisa Certa a Fazer”
O plano de Rosenworcel consiste em duas etapas. Primeiro, a FCC declarou formalmente que a Lei de Assistência de Comunicações para a Aplicação da Lei de 1994 (CALEA), que exigia que as empresas de telecomunicações projetassem seus sistemas de telefone e internet para cumprir com escutas, também exige que implementem defesas cibernéticas básicas para evitar adulterações. Em seguida, a FCC propôs exigir que uma gama mais ampla de empresas regulamentadas pela comissão desenvolvessem planos detalhados de gerenciamento de riscos cibernéticos e atestassem anualmente sua implementação.
A presidente cessante descreve as regras como uma resposta sensata a um ataque devastador.
“Nos Estados Unidos, em 2025, surpreenderia a maioria dos consumidores saber que nossas redes não têm padrões mínimos de cibersegurança”, diz Rosenworcel. “Estamos pedindo que as operadoras desenvolvam um plano e certifiquem que seguem esse plano. Isso é a coisa certa a fazer.”
Na ausência desses padrões, ela acrescenta, “nossas redes vão carecer da proteção que precisam contra ameaças de estados-nação como essa no futuro.”
Mas os republicanos provavelmente não abraçarão as novas regulamentações nas redes de telecomunicações. A poderosa indústria de telecomunicações tende a se opor firmemente a quaisquer novas regulamentações, e os republicanos costumam ficar do lado da indústria nesses debates.
O senador Ted Cruz, um republicano do Texas que agora preside o Comitê de Comércio, chamou o plano de Rosenworcel de “um curativo, no melhor dos casos, e uma ocultação de uma séria lacuna, no pior” durante uma audiência em dezembro.
Carr—que no mês passado chamou o Salt Typhoon de “profundamente preocupante”—votou contra a proposta de Rosenworcel, junto com seu colega comissário republicano Nathan Simington. O escritório de Carr não respondeu a um pedido de comentário sobre as novas regulamentações. Mas ele criticou repetidamente a abordagem de Rosenworcel para a aplicação de regras na indústria de telecomunicações, acusando-a de exagero e advertindo que a FCC deve se conter ou enfrentar reações dos tribunais.
Uma vez que Carr assuma como presidente da FCC, ele pode convocar uma nova votação da comissão para revogar as regulamentações de Rosenworcel. Ou ele pode deixar que os legisladores republicanos façam isso por ele—o Congresso controlado pelos republicanos já está planejando desfazer outra regra da FCC e pode ficar feliz em adicionar esta à sua lista.
Rosenworcel descarta a ideia de que seu plano seja radical. “Não estamos reinventando a roda aqui”, diz ela. Os novos requisitos cibernéticos seriam vinculados a padrões de consenso existentes do Instituto Nacional de Padrões e Tecnologia e da Agência de Segurança Cibernética e Infraestrutura.
“Vozes da esquerda e da direita chamaram isso de o pior hack de telecomunicações na história de nossa nação”, diz Rosenworcel. “Isso merece uma resposta séria.”
Modernizando uma Lei Antiga
Um desafio potencial que enfrenta o plano de Rosenworcel é que ele depende da CALEA, que tem 30 anos e diz quase nada sobre cibersegurança.
A Seção 105 da lei exige que as telecomunicações garantam que as escutas “possam ser ativadas apenas de acordo com uma ordem judicial ou outra autorização legal”, o que Rosenworcel interpreta como uma exigência para proteger as redes de telecomunicações contra acessos não autorizados. Mas após a recente decisão da Suprema Corte dos EUA de que os tribunais não devem deferir às agências como especialistas em suas políticas, a FCC enfrentará quase certamente um processo da indústria ao tentar implementar o plano de Rosenworcel.
Carr pode ter se oposto à proposta em parte por essa razão. Ele comemorou repetidamente decisões judiciais que invalidaram políticas de tecnologia da administração Biden e as próprias ações anteriores da FCC, e em testemunho congressional em julho passado, citou o risco de retrocessos judiciais ao se opor aos subsídios da FCC para pontos de acesso Wi-Fi em escolas e bibliotecas (o programa da FCC que o Congresso está se preparando para invalidar). “Após a decisão da Suprema Corte”, disse ele, “os tribunais não vão deferir a uma decisão da FCC para interpretar a Lei de Comunicações como uma concessão de autoridade que o Congresso não forneceu.”
Rosenworcel defende o uso da CALEA, dizendo “temos que dar um passo atrás e olhar isso de uma forma mais ampla.” A Seção 105 apoia claramente a conclusão de que “cada operadora de telecomunicações tem a obrigação legal de proteger suas redes contra acessos e interceptações ilegais”, argumenta ela.
A presidente admite que sua proposta é “uma maneira moderna de pensar sobre” a CALEA, mas diz que sua equipe “trabalhou em estreita colaboração com o escritório de nosso conselheiro geral” para garantir sua legalidade.
“Esta é a interpretação correta e adequada da lei que atende ao momento em que estamos e às ameaças que enfrentamos”, diz ela.
Novo Xerife na Cidade
À medida que a era Rosenworcel dá lugar à era Carr na FCC, uma questão em aberto é como o relacionamento da comissão com a indústria de telecomunicações mudará, e como isso afetará o compromisso das empresas em melhorar a cibersegurança.
As empresas geralmente têm relações mais amigáveis com reguladores independentes quando são lideradas por republicanos, que tendem a favorecer abordagens mais hands-off na supervisão de suas indústrias. Sob essa perspectiva, as empresas de telecomunicações—que criticaram a FCC por sua tentativa recentemente frustrada de reinstituir a neutralidade da rede—provavelmente receberão com alegria as promessas de Carr de conter o “excesso” da comissão.
Mas não está claro como essa mudança afetará os incentivos que impulsionam os investimentos das telecomunicações em melhores práticas de cibersegurança. Especialistas em segurança já expressaram preocupações sobre a provável retirada da administração Trump das regras de cibersegurança da era Biden para operadores de infraestrutura crítica. Uma tendência semelhante pode ocorrer com a FCC no espaço das telecomunicações.
Futuro Incerto para uma Agenda Ambiciosa
Mesmo além da violação do Salt Typhoon nos sistemas de telecomunicações dos EUA, existem muitas questões sobre como a FCC lidará com a cibersegurança após a saída de Rosenworcel.
“Uma das características do meu mandato foi que colocamos a segurança da rede e a segurança nacional em primeiro plano”, diz ela. “Estive na FCC por muito tempo, e essa questão nunca teve o mesmo destaque que teve durante meu tempo aqui.”
As iniciativas de Rosenworcel incluíram banir empresas de telecomunicações chinesas de fornecer serviços nos EUA, proibir fabricantes de equipamentos de telecomunicações vinculados a adversários estrangeiros de vender seus produtos nos EUA e implementar um programa de bilhões de dólares para ajudar as operadoras dos EUA a “remover e substituir” esse equipamento arriscado.
Sob Rosenworcel, a FCC também propôs regras para garantir o sistema de roteamento de tráfego da internet, proteger cabos submarinos de adulteração e atualizar procedimentos de notificação de violação de dados de 16 anos; lançou uma força-tarefa de privacidade e proteção de dados; criou um programa piloto para ajudar escolas e bibliotecas a melhorar suas defesas cibernéticas; e multou as principais operadoras sem fio dos EUA por vender acesso às localizações de clientes. Mais recentemente, Rosenworcel trabalhou com a Casa Branca para lançar um programa de rotulagem de segurança gerido pela FCC para dispositivos da internet das coisas.
O programa de remoção e substituição é um esforço especialmente ambicioso. Mais de 100 operadoras sem fio dos EUA relataram o uso de equipamentos fabricados por empresas arriscadas como a Huawei da China. Mas Rosenworcel está confiante de que o programa—que recentemente recebeu um aporte de $3 bilhões do Congresso—está no caminho certo. “Estamos fazendo um bom trabalho trabalhando com as operadoras para retirar esse equipamento”, diz ela.
Rosenworcel não está preocupada que as operadoras simplesmente se recusem a participar. “Se você tem esse equipamento em suas redes, não pode receber fundos de programas da FCC”, diz ela. “Ali, você tem um incentivo bastante poderoso.” Ela acredita que esse incentivo será especialmente forte para as organizações mais vulneráveis: as pequenas operadoras rurais que dependem fortemente de subsídios federais.
O programa de rotulagem de IoT, conhecido como Selo de Confiança Cibernética dos EUA, pode ser ainda mais ambicioso, dado que seu objetivo é mudar completamente como consumidores e empresas pensam sobre a importância da cibersegurança em eletrodomésticos. Mas Rosenworcel diz que muitos fabricantes estão “muito animados” em ter seus produtos testados e marcados com o selo de aprovação federal, porque “veem isso como uma maneira de diferenciar seus produtos no mercado.”
Quanto aos consumidores, Rosenworcel admite que eles podem não começar a comprar com base na segurança imediatamente, mas ela compara o programa ao Energy Star, que foi lançado em 1992 e agora é um nome familiar. “Este é um processo iterativo”, diz ela. “Vai criar seu próprio impulso ao longo do tempo, e estes são apenas os primeiros dias.”
Enquanto um grupo de organizações designadas pela FCC elabora critérios específicos de teste para o programa, Rosenworcel está preocupada que outros países possam avançar com seus próprios rótulos de segurança. A Coreia do Sul e Cingapura assinaram um acordo em dezembro de 2023 para reconhecer mutuamente seus rótulos. Os EUA e a União Europeia estão trabalhando em uma reciprocidade semelhante. “Haverá uma corrida global para desenvolver esse tipo de marca”, diz Rosenworcel. “Esta é uma área na qual eu acho que os EUA deveriam realmente investir um tempo, energia e esforço, porque eu gostaria que fôssemos líderes.”
Escapando da “Era Analógica”
Enquanto conta os dias finais na presidência da FCC, Rosenworcel está preocupada com como o Salt Typhoon destacou vulnerabilidades alarmantes nos sistemas que sustentam a prosperidade americana.
“A segurança da rede é a segurança nacional”, diz ela. “As comunicações são um insumo em tudo o que fazemos na vida cotidiana. Você não tem saúde, manufatura, energia, transporte, nada disso sem comunicações seguras.”
Essas dependências colocaram os EUA em crescente risco à medida que hackers de governos estrangeiros exploram a complexidade e a inconsistência dessas redes.
“Temos partes [das redes] que são novas e operam em protocolos de internet, e temos outras que foram construídas para a era analógica”, observa Rosenworcel. “Há consequências para ter redes assim que são supervisionadas por atores comerciais… Alguns equipamentos e instalações não foram atualizados.”
Os republicanos podem ser tentados a deixar a indústria se encarregar de reforçar essas vulnerabilidades. Mas Rosenworcel diz que isso seria um erro caro.
“Temos uma escolha a fazer”, diz ela. “Tomamos medidas para evitar que isso aconteça no futuro, ou viramos de costas, cruzamos os dedos e esperamos que nunca aconteça novamente. Eu gosto de esperança, mas esperança não é um plano. E quando você olha para a magnitude das ameaças que enfrentamos, seria imprudente simplesmente confiar na esperança neste momento.”