A Comissão Federal de Comunicações (FCC) dos Estados Unidos se prepara para votar no próximo mês sobre a possível eliminação de requisitos de segurança cibernética para empresas de telecomunicações. Esses requisitos foram instituídos pela antiga gestão da FCC em resposta a uma série de ataques cibernéticos que afetaram o setor, supostamente orquestrados por hackers ligados ao governo da China.
No dia 1º de novembro, a FCC deverá decidir se revoga uma declaração feita em janeiro, que afirmava que a Lei de Assistência para a Aplicação da Lei nas Comunicações (CALEA), de 1994, exigia que as empresas de telecomunicações protegessem suas redes contra acessos ou interceptações ilegais de comunicação. O presidente da FCC, Brendan Carr, já se manifestou contra essa declaração anteriormente, chamando-a de uma decisão precipitada que além de extrapolar a autoridade da agência, não lidou de forma eficaz com as ameaças cibernéticas relevantes.
Carr anunciou que o objetivo é corrigir essa abordagem e propôs uma nova ordem que sugere que a liderança anterior da FCC fez uma interpretação equivocada de suas autoridades sob a CALEA, além de ignorar como os tribunais têm interpretado o termo “interceptação” em relação à segurança das redes. Ele argumenta que os requisitos da CALEA são excessivamente rígidos e não oferecem uma proteção real, impondo padrões de conformidade que são difíceis de cumprir.
Quando a FCC emitiu a declaração em janeiro, inicialmente planejou implementar um conjunto de regras que exigiria que as telecomunicações adotassem planos de segurança cibernética adequados para prevenir invasões de rede e interrupções no serviço. No entanto, Carr pretende revogar essas regras propostas e adotar uma abordagem mais específica e personalizada, em vez de um regulamento geral que se aplique a todas as empresas de telecomunicações.
A revogação da declaração da CALEA e das regras propostas representaria um retrocesso significativo na resposta do governo dos Estados Unidos às falhas de segurança cibernética no setor de telecomunicações, particularmente em virtude dos ataques de hackers ligados à China que revelaram vulnerabilidades graves nesse setor em 2024. Esses ataques, considerados um dos mais prejudiciais da história dos EUA, conseguiram acessar redes de telecomunicações e informações sensíveis, como escuta das autoridades e dados de milhões de mensagens e chamadas.
Atualmente, as empresas de telecomunicação nos EUA estão sujeitas a requisitos federais de segurança cibernética quase inexistentes, apesar de terem enfrentado sucessivos problemas relacionados à segurança de suas infraestruturas, que são frequentemente vistas como desatualizadas e mal gerenciadas. Em uma entrevista após a declaração de janeiro, a então presidente da FCC, Jessica Rosenworcel, enfatizou a necessidade de ação decisiva para lidar com essa questão.
Com a proposta de Carr para desfazer as ações de Rosenworcel, permanece incerto como a FCC pretende manter um controle efetivo sobre a segurança cibernética das empresas de telecomunicações. Carr mencionou que a FCC estaria se envolvendo ativamente com as operadoras para discutir as etapas que estas estão tomando para fortalecer suas defesas cibernéticas.
Após o anúncio de Carr sobre sua proposta, surgiram informações de que operativos suspeitos de agências governamentais haviam hackeado um provedor de tecnologia fundamental para operadores de telecomunicações dos EUA e internacionais, permanecendo dentro de suas redes por quase um ano sem serem detectados.
