Federal Communications Commission planerar att rösta i november för att upphäva ett beslut från januari 2025 som krävde att internetleverantörer säkrar sina nätverk mot olaglig åtkomst. Ordförande Brendan Carr hävdar att åtgärden överskred myndighetens befogenheter och föredrar frivilliga åtaganden från operatörer istället. Beslutet följer lobbying från stora telekomgrupper som svar på cybersäkerhetshot som Salt Typhoon-attackerna.
I januari 2025, strax innan republikanerna fick majoritetskontroll över FCC, antog kommissionen ett deklaratoriskt beslut under 1994 års Communications Assistance for Law Enforcement Act (CALEA). Detta beslut tolkade avsnitt 105 i CALEA som en skyldighet för telekomoperatörer att säkra sina nätverk mot olaglig åtkomst eller avlyssning, och utvidgade skyldigheterna till val av utrustning och nätverksförvaltningsmetoder. Det var ett svar på kinesiska cyberattacker, inklusive Salt Typhoon-intrång hos leverantörer som Verizon och AT&T, som komprometterade routrar och switchar genom att utnyttja föråldrad utrustning och svaga protokoll.
Beslutet, tillsammans med ett meddelande om föreslagen regelverk för strängare standarder, betonade grundläggande cybersäkerhetshygien såsom rollbaserad åtkomstkontroll, starka lösenord, multifaktorautentisering och sårbarhetspatchning. Den dåvarande ordföranden Jessica Rosenworcel försvarade det som 'common sense', och sade: 'Detta är common sense', och noterade att CALEA kräver att operatörer säkerställer att avlyssning endast sker med laglig auktorisation och operatörens ingripande.
Emellertid protesterade kabel-, fiber- och mobiloperatörer. I februari petitionerade CTIA-The Wireless Association, NCTA-The Internet & Television Association och USTelecom-The Broadband Association för att vända det, och hävdade att CALEA endast underlättar laglig avlyssning och att FCC saknar befogenhet för tekniska standarder.
Under ordförande Brendan Carr betraktar FCC nu beslutet som 'olagligt och onödigt'. Ett utkast till order för omröstningen den 20 november kommer att upphäva det och dra tillbaka regelverket, och istället välja en 'inriktad strategi' genom federala-privata partnerskap. Carr framhöll operatörernas frivilliga steg, inklusive accelererad patchning, uppdateringar av åtkomstkontroller, inaktivering av onödiga anslutningar, förbättrad hotjakt och förbättrad informationsdelning. Orden hävdar att den tidigare tolkningen felaktigt utvidgade CALEA bortom avlyssningsunderlättande för att mandatgöra nätverksomfattande metoder.