VS schrapt cyberbeveiligingseisen die zijn ingesteld na Chinese hack op isp's

De Amerikaanse FCC heeft verschillende beveiligingsmaatregelen voor telecombedrijven teruggedraaid. Deze waren door de vorige regering ingesteld nadat bleek dat de Chinese hackersgroep Salt Typhoon maandenlang toegang had tot de netwerken van isp's.

De strengere cybersecuritymaatregelen voor isp's waren 'ineffectief' en 'onwettig', stelt de Amerikaanse telecomtoezichthouder FCC. Onder deze regels moesten telecombedrijven voldoen aan diverse minimale beveiligingseisen om te voorkomen dat onbevoegden kunnen inbreken in hun netwerken. Ook moesten ze een risicomanagementplan opstellen. De isp's moesten jaarlijks een certificaat overleggen aan de FCC als bewijs dat ze aan de eisen voldoen.

De FCC noemt deze regels nu 'vaag' en zegt dat ze een grote kostenpost vormen voor isp's, terwijl ze de problemen niet oplossen. De waakhond wil in plaats van dergelijke brede regelgeving 'samenwerken' met de industrie om de cybersecurityproblemen op individueel niveau te kunnen oplossen.

In 2024 bleek dat aanvallers van een Chinese hackersgroepering genaamd Salt Typhoon maandenlang toegang hadden tot de netwerken die providers als AT&T en Verizon gebruiken om te voldoen aan wettelijke afluisterverzoeken van de federale overheid. De dertig jaar oude wet die dat toestaat, stelde geen harde eisen aan de cyberveiligheid. Afgelopen januari werden dergelijke eisen door de regering-Biden wel ingesteld. Kort na de inauguratie van president Trump werd de veiligheidsraad die de hack onderzocht al ontslagen.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Kevin Krikhaar

Redacteur

Feedback • 21-11-2025 18:44 16

21-11-2025 • 18:44

Lees meer

Kleine Nederlandse providers waren volgens AIVD doelwit van Chinese hackersgroep

Kleine Nederlandse providers waren volgens AIVD doelwit van Chinese hackersgroep Nieuws van 28 augustus 2025

President VS ontslaat veiligheidsraad die Chinese hack op isp's onderzoekt

President VS ontslaat veiligheidsraad die Chinese hack op isp's onderzoekt Nieuws van 23 januari 2025

'Chinese hackers hadden mogelijk maandenlang toegang tot afluisternetwerken VS'

'Chinese hackers hadden mogelijk maandenlang toegang tot afluisternetwerken VS' Nieuws van 5 oktober 2024

Beveiliging en antivirus Cybersecurity Hack Telecom Verenigde staten

Reacties (16)

16

16

7

0

0

7

Wijzig sortering

flossed 21 november 2025 20:32

"Shit, die beveligingseisen zorgen ervoor dat we niemand kunnen afluisteren...... ", "Snel draai terug, Make Afluisteren Great Again!, (MAGA) ".
Beetje doorzichtig allemaal.

[Reactie gewijzigd door flossed op 22 november 2025 02:01]

dakka @flossed • 22 november 2025 00:19

Ik denk dat het banaler is dan dat, eerder hebben een paar bedrijven lopen zeuren "Door die regels moeten extra geld uitgeven aan personeel en tijd om onze beveiliging op orde te hebben, maar het levert ons niks op in de cijfers, kan dat wat minder?"

Want hoe vaak hebben bedrijven hun beveiliging niet op orde omdat ze er niks aan willen uitgeven, en dan weer in het nieuws komen dat ze zo lek als een mandje zijn...

flossed @dakka • 22 november 2025 02:01

Dat is natuurlijk ook mogelijk maar in de artikel wordt dit aspect wel aangehaald :

In 2024 bleek dat aanvallers van een Chinese hackersgroepering genaamd Salt Typhoon maandenlang toegang hadden tot de netwerken die providers als AT&T en Verizon gebruiken om te voldoen aan wettelijke afluisterverzoeken van de federale overheid. De dertig jaar oude wet die dat toestaat, stelde geen harde eisen aan de cyberveiligheid. Afgelopen januari werden dergelijke eisen door de regering-Biden wel ingesteld.

Als je die dertigjarige oude wet nu in ene overboord gooit, kan als 'irritante' bijkomstigheid, het niet meer afluisteren van alle burgers, zijn ontstaan. Maar daar zullen we nooit het fijne van weten.

Note: Bij het nalezen van die declaraties kan ik de link naar de 30 jaar oude wet niet terug vinden. https://docs.fcc.gov/public/attachments/DOC-415455A1.pdf

[Reactie gewijzigd door flossed op 22 november 2025 02:10]

Concept8 @flossed • 23 november 2025 11:11

Er staat toch niet dat die 30 jaar oude wet overboord wordt gegooid? Alleen de beveiligingseisen die daar bovenop kwamen. Dan gaat het afluisteren dus gewoon door.

De meest logische verklaring is inderdaad klagende telco’s - niet over het afluisteren want dat deden ze al en doen ze nog steeds, maar over de middelen die de extra beveiliging kost.

flossed @Concept8 • 23 november 2025 18:48

Nee inderdaad dat staat er niet. wat er wel staat is dat een dertig jaar oude wet bestaat die het toestaat dat AT&T en Verzizon gebruik konden maken van dezelfde netwerken die een hackergroep genaamd Salt Typhoon waarmee voldaan werd om afluisterverzoeken van de overheid te honoreren, welke kennelijk niet goed beveiligd was omdat de 30 jaar oude wet hier niets over riep over over zij of onvoldoende zorg uitoefende. Dit is door de wet van Biden veranderd door wel allerlei eisen in te stellen. De wet is niet overboord, je hebt gelijk. ik hoop dat je tevrden bent, wel scherp en oplettend van je.

Wat ik tussen de regels door lees is dat de wet die de beveiliging regelde van het netwerk waar verizon en at&t connectie mee maakten om hun afluisterverzoeken te communiceren met de overheid (staat er ook niet, maar ik ga er vanuit dat het zo werkt). Ongedaan is gemaakt. Wat bijzonder is als je weet dat er al maanden lang chinese hackers succesvol gebruik gemaakt hebben van de gaten in cybersecurity rondom dat netwerk. Het effect lijkt me is dat Verzizon en AT&T de afluisterverzoeken van de VS niet konden beantwoorden, waarschijnlijk omdat ze jaren nodig hadden om aan de nieuwe cyber security eisen te voldoen. Wat zoals je aangaf waarschijnlijk veel geld, maar ook veel tijd kostte. commercial bedrijven doen niets voor niets, en zeker niet aan amerika, een wiretap kost gemiddeld 80k, dus big business. valt weinig te klagen dus. Maar het zal niet op stel en sprong geregeld zijn, en de show must go on. Maar dat ben ik, ik lees tussen de regels door.

Kabouterplop01 @dakka • 22 november 2025 08:57

Zouden die bedrijven dan geen schade hebben geleden.
Dit is wel iets complex.
Als het niks oplevert vs een schadepost door een hack waarbij de bedrijfsprocessen stil komen te liggen...
Lijkt me een simpele rekensom, maar uiteraard kan dat veel genuanceerder liggen.

Het.Draakje 21 november 2025 18:49

Mooi. Het kost geld, dus dat doen we niet mee.

Volgens mij hebben een stel lobbyisten hun kerstbonus verdient.

Paultje3181 21 november 2025 19:06

En het is handig dat er nu weer meer zero exploits niet verplicht gedicht hoeven te worden

koppie 21 november 2025 19:15

Lekker gelobby-ed! FCC is sinds enkele decennia echt een politiek instrument geworden, waar lobby-clubs echt veel te veel invloed hebben. In 2024 hebben ze allerlei onderwerpen op de kaart gezet, en gedreigd met boetes voor de telco's, maar nu trekken we de boel weer in omdat het "onwerkbaar" is.

China staat weer eens te klappen in hun handen. Vooral als de boel echt losgaat zijn al die IOT's en routers echt een groot botnet en hebben we een enorm probleem.

21 november 2025 21:20

De FCC noemt deze regels nu 'vaag' en zegt dat ze een grote kostenpost vormen voor isp's, terwijl ze de problemen niet oplossen

Met 'vaag' kun je zo'n beetje alles wel saneren. Vage regels zou je ook kunnen verduidelijken.

Geen enkele security expert zou met droge ogen beweren dat zo'n maatregel het probleem op zou kunnen lossen. Dat is ook nooit het doel geweest (in het document heeft FCC het over mitigate/mitigeren; dat is een oplossing en gezien de context is dat nooit een garantie). Men wilde de lat hoger leggen, en zo'n afweging maakt men doorgaans genuanceerd.

Ik vermoed dat de daadwerkelijke reden is dat het terugdraaien is van iets is dat de Biden administratie geïmplementeerd heeft. Uit het FCC document:

First, we reconsider
and rescind a January 16, 2025, Declaratory Ruling issued by the prior FCC [...]

Vervolgens komen ze met deze twee redenen:

As explained below, that decision was both an unlawful and ineffective attempt to show that the agency was taking some type of action on cybersecurity issues. It was unlawful because the FCC purported to read a statute that required
telecommunications carriers to allow lawful wiretaps within a certain portion of their network as a provision that required carriers to adopt specific network management practices in every portion of their network. It was ineffective because it neither responded to the nature of the relevant cybersecurity threats nor was it consistent with the agile and collaborative approach to cybersecurity that has proven
successful.

Unlawful en ineffective. Dat wordt besproken in het document. Het zijn maatstaven waar je mee kunt spelen, stoeien, en dus uitermate geschikt voor een drogredering. Ik zou graag de visie van een Amerikaanse expert op dit gebied willen lezen.

twilex 22 november 2025 13:05

Dus afluisteren door de Russen wordt hiermee ook weer makkelijker....

Большое спасибо Donald.

moimeme @twilex • 22 november 2025 17:28

Ja, zonder hysterische paranoia weer die poetin!

Maar serieus, dat zeggen de voorvechters van privacy al jaren. Als je jouw eigen veiligheiddiensten zijn burgers laat afluisteren zullen onheroepelijk anderen gebruikt van maken.

Nu hun oplossing is dus "laat dan anderen gebruik van maken" omdat wij willen het steeds kunnen doen.

[Reactie gewijzigd door moimeme op 22 november 2025 18:05]

Stukfruit 21 november 2025 19:14

De waakhond wil in plaats van dergelijke brede regelgeving 'samenwerken' met de industrie om de cybersecurityproblemen op individueel niveau te kunnen oplossen.

Groeperingen zoals Salt Typhoon bestaan waarschijnlijk uit staatshackers, dus het is niet heel aannemelijk dat brede regelgeving op individueel niveau nuttig gaan zijn.

[Reactie gewijzigd door Stukfruit op 21 november 2025 20:56]

Ghostier 21 november 2025 19:17

Ze noemen het vorige met harde eisen een vorm van brede regelgeving. Maar het klopt wat je zegt m.b.t. regelgeving op individueel niveau gaat inderdaad geen effect hebben.

DrWaltman 21 november 2025 19:27

Mooi moment voor Europese fabrikanten om hier op in te springen.

fenrirs 22 november 2025 08:01

Lijkt mij dat eenmaal geïmplementeerd veiligheidsmaatregelen niet teruggedraaid gaan worden omdat een overheids eis ineens minder streng gaat worden. ISPs hebben ook nog klanten die kunnen gaan mekkeren

Om te kunnen reageren moet je ingelogd zijn