FCC, telekom operatörlerine asgari siber güvenlik zorunluluğu getiren planı geri çekti. 20 Kasım 2025’te yapılan 2’ye 1’lik oylamada, Ocak 2025’te alınan ve CALEA yasasının (1994) operatörlere “ağlarını yasa dışı erişim ve dinlemeye karşı koruma” yükümlülüğü getirdiğini söyleyen yorum iptal edildi. Böylece bu yükümlülüğü detaylandıracak yeni kurallar için başlatılan süreç de rafa kalktı.
Ocak 15, 2025 tarihli karar, Salt Typhoon olarak bilinen büyük siber casusluk operasyonunun ardından gelmişti. O dönemki yönetim, CALEA’nın 105. maddesinin operatörlere ağ yönetimi ve temel “siber hijyen” uygulamalarını hayata geçirme sorumluluğu yüklediğini savunuyordu. Bu yaklaşım; güçlü parolalar, MFA, rol tabanlı erişim ve yamaların hızla uygulanması gibi pratikleri işaret ediyordu.
FCC ne diyor?
Yeni Başkan Brendan Carr, Ocak yorumunun Kongre’nin CALEA için çizdiği sınırları aştığını, kağıt üstünde geniş ama pratikte etkisiz bir çerçeve yarattığını savunuyor. Carr’a göre komisyon, tek tip kural seti yerine “hedefli ve iş birliğine dayalı” yöntemlerle ilerlemeli. FCC, büyük taşıyıcıların hızlandırılmış yama süreçleri, erişim kontrollerinin gözden geçirilmesi, gereksiz dış bağlantıların kapatılması ve tehdit avcılığının güçlendirilmesi gibi ek önlemler üstlenmeyi kabul ettiğini de kayda geçti.
Sektör tarafında CTIA, NCTA ve USTelecom gibi lobi grupları, Ocak kararının ardından komisyona resmi itiraz sunmuş, CALEA’nın asıl amacının sadece “yasal dinlemeye imkân sağlamak” olduğunu, ağ yönetimine ilişkin teknik standart koyma yetkisi vermediğini iddia etmişti.
Tepkiler ve arka plan
Demokrat Komiser Anna Gomez geri adımı “ulusal güvenliği zayıflatacak” bir adım olarak eleştirdi; siber savunmaların kurumlar arası koordinasyonla güçlendirilmesi gerektiğini vurguladı.
Senato Ticaret Komitesi’nin kıdemli Demokratı Maria Cantwell de 18 Kasım’da Carr’a yazdığı mektupla iptal planına karşı çıktı. Cantwell, Salt Typhoon sonrası getirilen yorumun “kamu güvenliği için gerekli” olduğunu, operatörlerin sorumluluğu netleştirdiğini belirterek geri çekilmesinin kritik altyapıyı savunmasız bırakacağını söyledi.
Salt Typhoon saldırısı 2024’te onlarca ülkede yüzlerce kurumu etkiledi; ABD’de de AT&T, Verizon, T‑Mobile ve Lumen gibi büyük ağlarda izinsiz erişimler tespit edildi. Olay, eski cihazlar ve zayıf güvenlik uygulamaları yüzünden oluşan açıkların ne kadar kritik sonuçlar doğurabileceğini göstermişti.
Ne değişti? FCC’nin Ocak yorumuyla birlikte operatörlerden her yıl güncel bir siber risk yönetimi planına sahip olduklarını beyan etmeleri isteniyordu; bu çizgi ve bunu kurala bağlayacak süreç şu an iptal edildi. Bundan sonra ajans, zorunlu asgari standartlar yerine gönüllü taahhütler ve hedefli denetim‑uygulama adımlarına yönelecek.
Kaynak: www.techspot.com
