Após um dos maiores hacks de telecomunicações na história dos EUA, a Comissão Federal de Comunicações (FCC) moveu-se para impor padrões rigorosos nas medidas de cibersegurança das operadoras. Na quinta-feira, a agência está pronta para votar uma ordem que revoga essas exigências, alegando que eram uma superposição desnecessária de sua autoridade.
O hack Salt Typhoon, vinculado à China, revelado no ano passado, impactou empresas de telecomunicações, incluindo AT&T, Verizon, T-Mobile e Lumen Technologies, segundo o Wall Street Journal. A situação foi tão grave que as autoridades dos EUA alertaram os consumidores no final de 2024 para se comunicarem apenas através de aplicativos criptografados, temendo que adversários ainda pudessem estar infiltrados nas redes de suas operadoras.
Em resposta, a FCC, então liderada pela presidente democrata Jessica Rosenworcel, emitiu uma decisão declaratória que impôs requisitos de segurança mais rigorosos aos provedores de telecomunicações e emitiu um Aviso de Proposta de Regulação (NPRM) convidando comentários públicos sobre como os provedores de comunicações deveriam proteger seus sistemas. Agora, a FCC sob o presidente republicano Brendan Carr está buscando reverter essas ações em meio a um impulso de desregulamentação mais amplo.
A decisão original interpretou mal a autoridade da FCC e foi apressada antes da mudança na administração, diz o folheto que descreve a ordem de revogação da regra. Além disso, argumenta que seu “padrão vago e amorfo corre o risco de impor novos encargos onerosos a muitos provedores que não são relevantes para as ameaças potenciais que enfrentam ou que são redundantes porque esses provedores já podem empregar práticas de cibersegurança suficientes para reduzir razoavelmente o risco de exploração bem-sucedida pelos atores de ameaça mais sofisticados.” Associações da indústria de telecomunicações pediram a revogação das ações, dizendo que a FCC extrapolou seus limites e observando que os provedores de serviços já tomaram medidas desde o hack para reforçar suas redes e continuariam a fazê-lo voluntariamente.
“Vamos reverter o único esforço significativo que esta agência avançou em resposta a esse hack.”
A comissária democrata Anna Gomez, no entanto, não está convencida de que isso seja suficiente. O hack Salt Typhoon “foi, de forma importante, um chamado para a ação e mostrou como existem poucos incentivos para forçar as empresas a abordar as vulnerabilidades que permitiram que aquele ataque acontecesse,” disse ela à The Verge em uma entrevista. Um conselheiro de segurança nacional da Casa Branca da administração Biden disse na época que a falta de algumas proteções de cibersegurança básicas pelas empresas contribuiu para o hack. “Quando recebi este rascunho de ordem, fiquei muito desapontada porque vamos reverter o único esforço significativo que esta agência avançou em resposta a esse hack,” disse Gomez.
A votação acontece em um momento em que as defesas cibernéticas dos EUA já estão sob pressão, em meio a um esvaziamento da força de trabalho federal e ataques políticos em andamento contra o coordenador cibernético central do governo federal. Mesmo que as ações pós-Salt Typhoon sejam revogadas, Gomez disse que espera que a FCC continue a colaborar com outras agências para abordar questões de segurança nacional, mas teme que a administração Trump “esteja enfraquecendo nossas defesas cibernéticas e nossas agências que estão focadas em cibersegurança. E eu acho que precisamos de uma estratégia de colaboração total para abordar essas vulnerabilidades.”
Carr apresentou a ordem de revogação como uma correção de curso. Mas Gomez se preocupa que isso esteja removendo ferramentas importantes e substituindo-as por nada. “Meu medo é que os americanos fiquem menos seguros a partir do dia em que esse hack foi descoberto há pouco mais de um ano,” disse ela. “E nossos adversários verão isso como um convite e continuarão a testar nossas redes.”