FCC đảo ngược lệnh cấm cập nhật router để ngăn chặn thảm họa an ninh mạng tại Mỹ

FCC đảo ngược lệnh cấm cập nhật router để ngăn chặn thảm họa an ninh mạng tại Mỹ

Ủy ban Truyền thông Liên bang Mỹ (FCC) đã âm thầm gia hạn các quy định miễn trừ đến ngày 1 tháng 1 năm 2029, cho phép các bộ định tuyến (router) được sản xuất ở nước ngoài tiếp tục nhận các bản cập nhật phần mềm và firmware. Quyết định này được đưa ra sau khi cơ quan quản lý nhận ra rằng lệnh cấm trước đó có nguy cơ khiến hàng triệu thiết bị bị "đóng băng" và không thể vá lỗi, gây ra hậu quả nghiêm trọng cho an ninh mạng quốc gia.

FCC nhận diện sai lầm trong chính sách cấm router

Cơ quan quản lý viễn thông của Mỹ đã có sự thay đổi quan trọng đối với lệnh cấm các bộ định tuyến sản xuất ở nước ngoài. Thay vì để hàng triệu thiết bị hiện hữu trở nên dễ bị tấn công, FCC đã quyết định cho phép chúng tiếp tục được cập nhật.

Theo đó, FCC đã gia hạn các quy định miễn trừ bao gồm các router và máy bay không người lái (drone) được sản xuất ở nước ngoài, đẩy lùi thời hạn chặn cập nhật đến ít nhất là ngày 1 tháng 1 năm 2029. Nếu không có sự gia hạn này, các bản cập nhật bảo mật quan trọng sẽ bị chặn từ năm 2027.

Rủi ro bảo mật từ việc ngừng cập nhật firmware

Vấn đề cốt lõi nằm ở chỗ: rủi ro bảo mật lớn nhất đối với router không chỉ là ai đã sản xuất ra chúng, mà là liệu chúng có được vá lỗi thường xuyên hay không.

Chính sách ban đầu của FCC xuất phát từ lo ngại rằng các router nước ngoài có thể tạo ra lỗ hổng để tấn công vào cơ sở hạ tầng quan trọng của Mỹ. Tuy nhiên, việc chặn các bản cập nhật firmware - vốn chứa các bản vá lỗi cho các lỗ hổng mới phát hiện - lại là một "phản đòn" đối với mục tiêu giảm thiểu lỗ hổng mạng.

"Rủi ro bảo mật thực tế lớn nhất với các bộ định tuyến không chỉ là ai đã sản xuất chúng, mà là liệu chúng có được duy trì các bản vá lỗi hay không. Khi ngừng nhận cập nhật, các lỗ hổng đã biết sẽ tiếp tục bị lộ, kẻ tấn công sẽ có chỗ đứng vững chắc, và người tiêu dùng sẽ bị bỏ lại với thiết bị mà họ không thể tự bảo vệ."

Đây là nhận định của Doc McConnell, người đứng đầu bộ phận chính sách và tuân thủ tại công ty bảo mật Finite State. Ông cho rằng việc ngăn chặn cập nhật vô tình khiến người dân Mỹ kém an toàn hơn.

Phản ứng từ ngành công nghiệp và thách thức phía trước

Quyết định đảo ngược của FCC đã nhận được sự hoan nghênh từ các chuyên gia an ninh mạng. Việc duy trì khả năng cập nhật cho các thiết bị đã triển khai là rất quan trọng, đặc biệt trong bối cảnh các nhóm hacker như Volt Typhoon đã lợi dụng các thiết bị mạng không được bảo vệ để thực hiện các cuộc tấn công vào hạ tầng Mỹ.

Tuy nhiên, thách thức vẫn còn tồn tại đối với các thiết bị mới. Khung phê duyệt có điều kiện của FCC vẫn yêu cầu các nhà sản xuất muốn được phê duyệt cho các dòng router mới phải nộp kế hoạch thiết lập hoặc mở rộng sản xuất tại Mỹ.

Hiệp hội Điện tử Toàn cầu (GEA) đã chỉ ra rằng logic của chính sách này giả định rằng các nhà sản xuất có thể và sẽ chuyển sản xuất sang Mỹ, một giả định có thể khó thực hiện trong thực tế khi phần lớn linh kiện và quy trình sản xuất hiện nay đều nằm ở nước ngoài.

Với việc gia hạn đến năm 2029, người dùng Mỹ có thể tạm thời thở phào nhẹ nhõm khi biết rằng thiết bị mạng của họ sẽ không bị tước bỏ khả năng bảo vệ trong tương lai gần.