FCC lùi hạn chót cấm cập nhật router đến năm 2029 để bảo vệ an ninh mạng

Cơ quan quản lý viễn thông của Mỹ đã có sự điều chỉnh hợp lý hơn đối với lệnh cấm các bộ định tuyến (router) sản xuất nước ngoài, khi quyết định cho phép các thiết bị đã tồn tại tiếp tục nhận cập nhật phần mềm và phần sụn.

Ủy ban Truyền thông Liên bang Mỹ (FCC) đã gia hạn các quy định miễn trừ bao gồm các bộ định tuyến (và máy bay không người lái) sản xuất nước ngoài đang hoạt động tại Mỹ, đẩy lùi hạn chót cho các bản cập nhật đến ít nhất là ngày 1 tháng 1 năm 2029. Nếu không có sự gia hạn này, các bản cập nhật sẽ bị chặn ngay từ năm 2027.

Rủi ro bảo mật từ việc không được cập nhật

Về mặt thực tế, rủi ro bảo mật lớn nhất đối với router không chỉ nằm ở việc ai đã sản xuất ra chúng, mà còn ở việc chúng có được duy trì các bản vá lỗi hay không. Quy định hạn chế ban đầu đã tạo ra rủi ro đúng như vấn đề này: hàng triệu bộ định tuyến đã triển khai sẽ bị "đóng băng" theo thời gian, không thể nhận được các bản sửa lỗi bảo mật.

Vào tháng 3, FCC đã cập nhật "Danh sách Bao phủ" (Covered List) để bao gồm tất cả các router tiêu dùng sản xuất nước ngoài, cấm việc phê duyệt bất kỳ mẫu mã mới nào. Điều này thực chất là cấm bán bất kỳ thiết bị mới nào được sản xuất ở nước ngoài, nhưng không ngăn cản việc nhập khẩu, bán hoặc sử dụng các mẫu mã đã được ủy quyền trước đó.

Chính sách này xuất phát từ nỗi lo ngại rằng các router sản xuất nước ngoài có thể gây ra mối đe dọa bảo mật. Vì chúng xử lý lưu lượng mạng, chúng có thể gây ra lỗ hổng có thể bị khai thác để tấn công vào cơ sở hạ tầng quan trọng. Tuy nhiên, việc chặn các bản cập nhật phần sụn (firmware) — thứ thường mang lại các bản vá bảo mật cho các lỗi mới được phát hiện — dường như là một bước đi ngược chiều đối với một cơ quan quản lý có mục tiêu stated là giảm thiểu lỗ hổng mạng.

FCC đã muộn màng nhận ra điều này, tuyên bố rằng các chính sách của họ sẽ "có hiệu quả cấm các thay đổi mang tính cho phép đối với các router được thêm vào Danh sách Bao phủ vào tháng 12 và tháng 3". Sự cấm đoán này sẽ áp dụng ngay cả đối với các thay đổi Nhóm I và Nhóm II — chẳng hạn như các bản cập nhật bảo mật phần mềm và phần sụn giúp giảm thiểu thiệt hại cho người tiêu dùng Mỹ — vì các router được ủy quyền trước đó hiện nay đã trở thành thiết bị bị kiểm soát.

Phản ứng từ chuyên gia

Các miễn trừ hiện nay sẽ kéo dài đến ít nhất ngày 1 tháng 1 năm 2029. Quyết định gia hạn của FCC đã nhận được một số sự ủng hộ. Doc McConnell, người đứng đầu chính sách và tuân thủ tại công ty bảo mật Finite State, nhận định:

"Rủi ro bảo mật thực tế lớn nhất đối với router không chỉ nằm ở việc ai đã sản xuất ra chúng, mà còn ở việc chúng có được duy trì các bản vá hay không. Khi chúng ngừng nhận cập nhật, các lỗ hổng đã biết vẫn bị lộ, kẻ tấn công có được chỗ đứng bền vững, và người tiêu dùng bị bỏ lại với thiết bị mà họ không thể tự bảo vệ trên thực tế."

Ông bổ sung thêm rằng việc ngăn chặn cập nhật có thể vô tình khiến người Mỹ kém an toàn hơn.

Mặc dù vậy, như đã báo cáo trước đây, Khung Phê duyệt Có điều kiện của FCC vẫn yêu cầu các nhà sản xuất tìm kiếm phê duyệt cho các router mới phải nộp kế hoạch thiết lập hoặc mở rộng sản xuất tại Mỹ, với các bản cập nhật tiến độ hàng quý. Tuy nhiên, Hiệp hội Điện tử Toàn cầu (GEA) cho rằng giả định rằng các nhà sản xuất có thể và sẽ chuyển sản xuất sang Mỹ là một điều quá xa vời.

Bản chất vấn đề không nằm ở địa lý sản xuất mà nằm ở quy trình quản lý vòng đời sản phẩm và cập nhật bảo mật, là bài học lớn từ sự kiện này.