Os provedores de serviços de Internet e operadoras de celular não serão mais obrigados a cumprir os padrões mínimos de segurança cibernética após a votação da Comissão Federal de Comunicações na quinta-feira.
A FCC votou por 2 a 1, seguindo as linhas partidárias, para reverter o curso de uma decisão de janeiro – adotada quatro dias antes da posse do presidente Donald Trump – que exigia que os fornecedores emitiam uma certificação anual mostrando que “criaram, atualizaram e implementaram um plano de gestão de riscos de segurança cibernética”.
As regras se aplicavam a uma ampla gama de empresas, incluindo operadoras de celular, provedores de serviços de Internet, estações de rádio e até emissoras de televisão.
Os novos requisitos foram em grande parte uma resposta ao ataque cibernético Salt Typhoon, em setembro do ano passado, no qual hackers ligados ao governo chinês invadiram as redes de provedores de internet dos EUA como AT&T, Verizon e Lumen, proprietária da CenturyLink e Quantum Fiber. Os invasores obtiveram acesso a metadados de chamadas e mensagens de texto de milhões de clientes e supostamente capturaram gravações de áudio de pessoas envolvidas nas campanhas de Harris e Trump.
“Esta é uma ideia tão terrível. Isto é estender o tapete vermelho para outro ataque”, disse Cooper Quintin, tecnólogo sênior da Electronic Frontier Foundation, à CNET. “Não posso exagerar o impacto que o Salt Typhoon teve. Isso lhes deu acesso às comunicações de todos os americanos. Impactou a todos e não houve consequências para as empresas de telecomunicações além de ter que gerar um relatório regular.”
Então, por que reverter as regras agora? O presidente da FCC, Brendan Carr, disse que as regras não são necessárias porque os provedores mais longos já “demonstraram uma postura de segurança cibernética fortalecida” no ano desde os ataques do tufão de sal.
A medida é o capítulo mais recente da agenda “Apagar, Apagar, Apagar” de Carr, que visa acabar com o “ataque regulatório de Washington”.
Se olharmos para a FCC como sendo a protectora do interesse público nas comunicações modernas, a noção de que não temos um papel na segurança cibernética parece-me deliberadamente contundente.
Blair Levin, ex-chefe de gabinete da FCC e analista do setor de telecomunicações na New Street Research
As objeções dos democratas vieram rapidamente. Mark Warner, vice-presidente do Comitê Seleto de Inteligência do Senado, disse que a eliminação dos requisitos “nos deixa sem um plano confiável para resolver as lacunas expostas pelo Salt Typhoon, incluindo falhas básicas como a reutilização de credenciais e a ausência de autenticação multifatorial para contas altamente privilegiadas”.
Numa carta a Carr no início desta semana, a senadora Maria Cantwell disse que o tufão do sal permitiu ao governo chinês “localizar geograficamente milhões de indivíduos” e “gravar chamadas telefónicas à vontade”, observando que o incidente teve como alvo quase todos os americanos.
“Você propôs agora reverter esta exigência após forte lobby das mesmas operadoras de telecomunicações cujas redes foram violadas por hackers chineses”, disse Cantwell.
Carr rejeitou estas objecções na reunião desta manhã, dizendo: “Fazer qualquer coisa só para podermos dizer que fizemos algo não é a resposta”.
Blair Levin, ex-chefe de gabinete da FCC e analista do setor de telecomunicações na New Street Research, disse-me que considerava a posição de Carr contra-intuitiva.
“Se olharmos para a FCC como sendo a protetora do interesse público nas comunicações modernas, a noção de que não temos um papel na segurança cibernética parece-me deliberadamente contundente”, disse Levin.
A decisão é uma grande vitória para as empresas de telecomunicações, que têm feito lobby para que as regras sejam rescindidas. Numa carta enviada à FCC no mês passado, grupos industriais argumentaram que a colaboração de décadas em matéria de cibersegurança entre a indústria e o governo significava que as regras não eram apenas desnecessárias – elas “prejudicam significativamente este sistema e tornam as nossas redes menos seguras”.
Quando li esta citação para Quintin, ele riu e a rejeitou com uma palavra de sete letras.
“Se ter que relatar a alguém qual é sua postura de segurança cibernética os torna menos seguros, então eles tinham uma segurança cibernética terrível”, disse ele.
Não perca nenhum de nossos conteúdos técnicos imparciais e análises baseadas em laboratório. Adicione CNET como fonte preferencial do Google.
Como se proteger de futuros ataques cibernéticos
A FCC está dando um passo atrás no monitoramento da segurança de nossas redes, o que significa que nunca foi tão essencial praticar você mesmo uma boa segurança cibernética. Embora o Salt Typhoon tenha como alvo funcionários do governo, os americanos comuns podem estar em risco em ataques futuros.
“A preocupação para você ou para mim é mais em torno de golpes e crimes cibernéticos”, disse Quintin, observando que ataques de troca de SIM, interceptação de códigos de autenticação de dois fatores e golpistas se passando por seu banco ou provedor de saúde podem se tornar mais comuns.
Aqui estão algumas etapas que você pode seguir agora para se proteger e mitigar os danos potenciais:
Defina senhas fortes e sempre use autenticação multifator. Suas senhas devem ser exclusivas e longas, com uma variedade de caracteres especiais, letras e números. Se isso parece impossível de lembrar, deveria ser. Um bom gerenciador de senhas fará o trabalho pesado para você. Se você descobrir que uma de suas senhas foi comprometida em uma violação, altere-a o mais rápido possível.
Esteja atento a ataques de phishing. As violações de dados oferecem aos criminosos uma grande oportunidade de usar seus dados pessoais contra você, enviando e-mails fraudulentos, mensagens de texto ou mensagens de mídia social. Não clique em links de remetentes que você não reconhece e seja extremamente cético ao distribuir dinheiro ou informações pessoais a qualquer pessoa ou empresa que você não tenha verificado.
Monitore suas contas financeiras. É sempre uma boa ideia ficar atento às suas contas bancárias e cartões de crédito, mas principalmente quando você for notificado de que suas informações pessoais foram expostas. Você também pode configurar alertas de conta para avisar sempre que uma grande transação for realizada.
Use uma VPN. Se você estiver preocupado com outro ataque do tipo Salt Typhoon de um governo estrangeiro ou de qualquer outra pessoa, a melhor coisa que você pode fazer para garantir que sua conexão permaneça privada é usar uma VPN confiável. Procure recursos avançados como ofuscação, Tor sobre VPN e VPN dupla, que usa um segundo servidor VPN para uma camada adicional de criptografia. Você também pode instalar uma VPN diretamente no seu roteador para que todo o seu tráfego seja criptografado automaticamente.
