04/04/24
Федеральная комиссия по связи (FCC) США активизировала усилия по укреплению безопасности устаревших элементов американских телефонных сетей. Основное внимание уделено протоколам Signaling System Number 7 (SS7) и Diameter, используемым операторами для обеспечения взаимосвязи сетей, которые, как выяснилось, могут быть использованы иностранными правительствами и службами наблюдения для удалённой кибершпионской деятельности.
SS7 был разработан в середине 1970-х, а Diameter — в конце 1990-х. Оба протокола обладают уязвимостями, делающими возможным отслеживание местоположения телефонов, перенаправление звонков и текстовых сообщений для перехвата информации, а также наблюдение за пользователями. FCC указывает на увеличение риска эксплуатации данных уязвимостей в связи с расширением покрытия и увеличением числа участников сетей, пишет Securitylab.
27 марта комиссия призвала телекоммуникационные компании сообщить, какие меры принимаются для предотвращения злоупотреблений уязвимостей SS7 и Diameter, а также запросила информацию о любых инцидентах эксплуатации данных протоколов с 2018 года.
Этот запрос был вызван обращением сенатора Рона Уайдена (D-OR), который подчеркнул необходимость решения проблемы слабой кибербезопасности операторов мобильной связи, указывая на угрозы, создаваемые уязвимостями SS7 и Diameter. Уайден особо отметил, что эти проблемы используются авторитарными режимами для слежки и получения информации о гражданах.
В прошлом сенатор Уайден уже обращал внимание на проблемы безопасности, связанные с SS7, и призывал к принятию мер для устранения данных уязвимостей как вопроса национальной безопасности. Он также выразил намерение сотрудничать с FCC для разработки обязательных стандартов кибербезопасности для защиты телефонных сетей США.
Ответы от заинтересованных сторон ожидаются до 26 апреля, после чего у FCC будет месяц на подготовку ответа. Это обращение FCC и заявления сенатора Уайдена подчёркивают серьёзность угроз, связанных с уязвимостями в телефонных сетях, и необходимость принятия срочных мер для укрепления кибербезопасности.
