Ủy ban Truyền thông Liên bang sẽ bỏ phiếu vào tháng 11 để bãi bỏ một phán quyết yêu cầu các nhà cung cấp dịch vụ viễn thông phải bảo mật mạng lưới của họ, theo yêu cầu từ các nhóm vận động hành lang lớn nhất đại diện cho các nhà cung cấp dịch vụ Internet.

Chủ tịch FCC Brendan Carr cho biết phán quyết được thông qua vào tháng 1 ngay trước khi đảng Cộng hòa giành quyền kiểm soát đa số tại ủy ban, “đã vượt quá thẩm quyền của cơ quan và không đưa ra phản ứng hiệu quả hoặc nhanh chóng đối với các mối đe dọa an ninh mạng liên quan”. Ông Carr cho biết cuộc bỏ phiếu dự kiến ​​diễn ra vào ngày 20 tháng 11 là kết quả của “sự tham vấn rộng rãi của FCC với các nhà mạng” những người đã thực hiện “các bước đáng kể… để tăng cường khả năng phòng thủ an ninh mạng của họ”.

Phán quyết mang tính tuyên bố của FCC vào tháng 1 năm 2025 được đưa ra nhằm đáp trả các cuộc tấn công từ Trung Quốc, bao gồm cả vụ xâm nhập Salt Typhoon vào các nhà cung cấp dịch vụ viễn thông lớn như Verizon và AT&T. FCC thời chính quyền Biden nhận thấy rằng Đạo luật Hỗ trợ Truyền thông cho Cơ quan Thực thi Pháp luật (CALEA), một đạo luật năm 1994, “yêu cầu rõ ràng các nhà mạng viễn thông phải bảo vệ mạng lưới của họ khỏi sự truy cập hoặc chặn bắt thông tin liên lạc bất hợp pháp”.

“Ủy ban trước đây đã kết luận rằng điều 105 của CALEA tạo ra nghĩa vụ bắt buộc đối với các nhà cung cấp dịch vụ viễn thông phải tránh rủi ro các nhà cung cấp thiết bị không đáng tin cậy sẽ ‘kích hoạt trái phép việc chặn bắt thông tin hoặc các hình thức giám sát khác trong phạm vi cơ sở chuyển mạch của nhà cung cấp mà không có sự cho phép của họ’”, phán quyết tháng Giêng nêu rõ. “Với Phán quyết Tuyên bố này, chúng tôi làm rõ rằng nghĩa vụ của các nhà cung cấp dịch vụ viễn thông theo điều 105 của CALEA không chỉ mở rộng đến thiết bị mà họ lựa chọn sử dụng trong mạng lưới của mình, mà còn cả cách họ quản lý mạng lưới đó.”

Các nhà cung cấp dịch vụ Internet (ISP) đạt được điều họ muốn.

Phán quyết mang tính tuyên bố này được kèm theo Thông báo về Quy định đề xuất, theo đó sẽ dẫn đến các quy định nghiêm ngặt hơn, yêu cầu các bước cụ thể để bảo vệ mạng lưới khỏi sự can thiệp trái phép. Ông Carr đã bỏ phiếu chống lại quyết định này vào thời điểm đó.

Mặc dù phán quyết tuyên bố chưa kèm theo các quy định cụ thể, nhưng FCC lúc đó cho biết nó có hiệu lực nhất định. “Ngay cả khi không có các quy định được Ủy ban thông qua, chẳng hạn như những quy định được đề xuất dưới đây, chúng tôi tin rằng các nhà cung cấp dịch vụ viễn thông khó có thể đáp ứng các nghĩa vụ theo luật định theo điều 105 nếu không áp dụng một số biện pháp an ninh mạng cơ bản cho hệ thống và dịch vụ truyền thông của họ,” phán quyết tháng Giêng nêu rõ. “Ví dụ, các biện pháp vệ sinh an ninh mạng cơ bản như triển khai kiểm soát truy cập dựa trên vai trò, thay đổi mật khẩu mặc định, yêu cầu độ mạnh mật khẩu tối thiểu và áp dụng xác thực đa yếu tố là cần thiết cho bất kỳ hệ thống máy tính nhạy cảm nào. Hơn nữa, việc không vá các lỗ hổng đã biết hoặc không áp dụng các biện pháp tốt nhất được biết là cần thiết để đối phó với các cuộc tấn công đã được xác định dường như không đáp ứng được nghĩa vụ theo luật định này.”

Các nhà khai thác cáp, cáp quang và di động đã phản đối quyết định này. Một bản kiến ​​nghị yêu cầu FCC đảo ngược quyết định đã được CTIA - Hiệp hội Không dây, NCTA - Hiệp hội Internet & Truyền hình và USTelecom - Hiệp hội Băng thông rộng đệ trình vào tháng Hai. Các nhóm vận động hành lang viễn thông lập luận rằng CALEA “chỉ bắt buộc các nhà cung cấp phải tạo điều kiện thuận lợi cho việc chặn bắt hợp pháp từ phía cơ quan thực thi pháp luật”, và rằng “FCC thiếu thẩm quyền ban hành các tiêu chuẩn kỹ thuật theo Mục 105”.

Trong dự thảo quyết định sẽ được bỏ phiếu vào tháng 11, FCC cho biết họ sẽ “hủy bỏ phán quyết tuyên bố là bất hợp pháp và không cần thiết, nhận thấy rằng cách giải thích của ủy ban về CALEA là sai lầm về mặt pháp lý và không hiệu quả trong việc thúc đẩy an ninh mạng”. Quyết định này cũng sẽ rút lại Thông báo về Quy định đề xuất, nói rằng FCC sẽ cố gắng thực hiện “một cách tiếp cận có mục tiêu để thúc đẩy các sản phẩm an ninh mạng hiệu quả thay vì một cách tiếp cận áp dụng chung cho tất cả các đơn vị được Ủy ban cấp phép”.

FCC cho rằng những cam kết tự nguyện là đủ.

Ban lãnh đạo FCC dường như hài lòng rằng những cam kết từ các nhà mạng đã khiến các quy định mới trở nên không cần thiết. Bản dự thảo lệnh nêu rõ: “Các nhà cung cấp đã đồng ý thực hiện các biện pháp kiểm soát an ninh mạng bổ sung để tăng cường bảo mật mạng lưới của họ. Các biện pháp kiểm soát này bao gồm việc đẩy nhanh quá trình vá lỗi cho các thiết bị lỗi thời hoặc dễ bị tổn thương, cập nhật và xem xét các biện pháp kiểm soát truy cập, vô hiệu hóa các kết nối ra ngoài không cần thiết và cải thiện nỗ lực săn lùng mối đe dọa. Các nhà cung cấp cũng cam kết tăng cường chia sẻ thông tin an ninh mạng, cả với chính phủ liên bang và trong nội bộ ngành viễn thông. Điều này thể hiện một sự thay đổi đáng kể trong các thực tiễn an ninh mạng so với các biện pháp được áp dụng vào tháng Giêng.”

Lệnh này lập luận rằng cách hiểu CALEA của ban lãnh đạo FCC trước đây “là bất hợp pháp vì FCC đã cố tình hiểu một đạo luật yêu cầu các nhà cung cấp dịch vụ viễn thông cho phép nghe lén hợp pháp trong một phần nhất định của mạng lưới của họ như một điều khoản yêu cầu các nhà cung cấp phải áp dụng các biện pháp quản lý mạng cụ thể trong mọi phần của mạng lưới.”

Luật quy định rằng mỗi “nhà cung cấp dịch vụ viễn thông phải đảm bảo rằng bất kỳ việc chặn bắt thông tin liên lạc hoặc truy cập thông tin nhận dạng cuộc gọi nào được thực hiện trong phạm vi cơ sở chuyển mạch của mình chỉ có thể được kích hoạt theo lệnh của tòa án hoặc ủy quyền hợp pháp khác và với sự can thiệp rõ ràng của một viên chức hoặc nhân viên của nhà cung cấp dịch vụ, hành động theo các quy định do Ủy ban ban hành.”