Les intervenants techniques aident FAC à envisager la sécurité Internet | Wiley Rein LLP

La Federal Communications Commission (FCC) a entendu les principales parties prenantes parler des innovations en matière de sécurité Internet, donnant à l’Agence beaucoup à mâcher alors qu’elle évalue les prochaines étapes et son rôle dans un écosystème Internet complexe. Les entreprises technologiques, les opérateurs de réseau, les réseaux de diffusion de contenu et d’autres qui ont investi dans la sécurité du réseau doivent prêter attention aux activités futures de la FCC dans ce domaine et dans des domaines connexes.

En mars, la FCC a publié un avis d’enquête (NOI) demandant des informations sur les vulnérabilités liées au protocole Border Gate Protocol (BGP), l’une des normes de base pour la transmission de données sur Internet. La date limite pour les commentaires était le 11 avril 2022. Les commentaires de réponse ont été soumis à la FCC le 10 mai 2022. Le document contient des commentaires substantiels de nombreux participants à l’économie d’Internet et suggère que la FCC devrait avancer lentement avec toute mesure réglementaire, permettant aux travaux prometteurs de se développer.

Une quarantaine d’organisations et un certain nombre de personnes ont fourni des commentaires qui mettent en lumière les pratiques de l’industrie et montrent un intérêt marqué pour le routage sûr dans les universités et les organismes de normalisation. Des grands FAI aux chercheurs en passant par les sociétés de sécurité, le secteur technologique gère la sécurité BGP et son traitement.

Bien que l’orientation future de la FCC sur le BGP ne soit pas claire, la procédure actuelle est un exemple de la recherche par l’Agence de contributions substantielles (factuelles, politiques et juridiques) pour éclairer son examen des questions pertinentes. Une telle contribution précoce peut aider à façonner l’action future et montrer quand une action réglementaire peut ne pas être nécessaire du tout.

De quoi parlent les parties prenantes ?

En particulier, des commentateurs ont déclaré à la FCC que la sécurité du routage est une question importante et complexe, multipartite, qui ne relève pas du champ d’application des États-Unis. Les commentaires ont souligné l’accent continu mis sur les problèmes connus et les progrès significatifs réalisés en coopération avec les organismes de normalisation et la recherche universitaire. Comme l’a déclaré le fournisseur de réseau de recherche et d’éducation Internet2, “Le premier et le plus important aspect de la sécurité du routage est la coopération entre les opérateurs de réseau”.

Les commentateurs ont noté que des efforts tels qu’un consortium volontaire dirigé par l’industrie, Mutually Agreed Routing Security Standards (MANRS) ont développé les meilleures pratiques pour les opérateurs de réseau, les opérateurs de FAI, les fournisseurs de réseaux de contenu et de services cloud, et les fournisseurs d’équipements. L’utilisation de méthodes cryptographiques pour l’autorisation d’origine de l’itinéraire et le contrôle des ressources via l’infrastructure à clé publique (RPKI) a augmenté ces dernières années.

Plusieurs commentateurs ont noté que l’outil “BGPsec” mis en évidence dans la NOI n’est pas une solution idéale et qu’il est peu probable qu’il soit largement utilisé. Au lieu de cela, les commentateurs ont souligné comment la FCC peut aider l’écosystème Internet à continuer d’améliorer la sécurité des protocoles de base.

  • La société de services Internet Cloudflare a déclaré que “la situation de sécurité réelle pour BGP est meilleure que les mesures […] recommander. L’introduction de RPKI par les plus grands fournisseurs de services de transit a considérablement réduit l’impact des fuites et des détournements de BGP.
  • L’Internet Society a ajouté: “Compte tenu du développement et de l’orientation des technologies existantes et émergentes en matière de routage de sécurité, il est peu probable que le mandat aide à sécuriser davantage de réseaux et est plus susceptible de” geler “des aspects de l’écosystème de sécurité en évolution dans les pays défavorisés.

Les commentateurs ont suggéré un certain nombre de mesures que la FCC pourrait prendre pour améliorer la sécurité du routage. Plusieurs réponses ont souligné la nécessité d’effectuer des recherches plus approfondies pour obtenir des données fiables sur l’étendue et le type de problèmes de sécurité du routage et sur la mise en œuvre de mesures d’atténuation, dont certaines mentionnaient des observatoires Internet existants gérés par des universités, des entreprises et des agences gouvernementales et nécessitant des financement ciblé.

  • Geoffrey Houston, chercheur principal au Registre Internet régional Asie-Pacifique (APNIC), a déclaré : « Il serait bon que la FCC et les autres parties prenantes évaluent de manière critique l’état d’avancement de ces mécanismes et envisagent potentiellement les moyens de les soutenir davantage. .encouragements.

De nombreux commentateurs ont encouragé la FCC à travailler avec les régulateurs et les organisations internationales pour sensibiliser aux problèmes de sécurité de BGP et aux meilleures pratiques existantes que les opérateurs d’infrastructure Internet peuvent adopter. D’autres groupes ont souligné la nécessité d’une meilleure coordination entre le financement de la recherche du gouvernement fédéral et la mise en œuvre de la sécurité du réseau fédéral.

De nombreuses organisations ont recommandé que la FCC charge le Conseil de la sécurité, de la fiabilité et de l’interopérabilité des communications (CSRIC) de mettre à jour ses recherches et ses recommandations sur la sécurité du routage. Certains commentateurs ont également suggéré que la FCC développe des incitations pour encourager l’utilisation d’outils de sécurité par les fournisseurs de services Internet aux ressources limitées.

En particulier, l’Administration nationale des télécommunications et de l’information (NTIA) a fourni des réponses, comme elle le fait souvent, pour exprimer les vues de l’exécutif à la FCC. Les recommandations de la NTIA étaient conformes aux opinions de la plupart des commentateurs, soulignant la valeur et les progrès de la communauté mondiale multipartite des normes Internet et soulignant que les règles de routage Internet de la FCC “pourraient créer un précédent préjudiciable, contrairement aux réglementations Internet internationales actuelles. Politique de l’USG.

Cette NOI fait partie du travail plus large de la FCC sur la cybersécurité

L’avis d’enquête sur la sécurité du routage Internet fait partie des efforts de la FCC pour accroître son implication dans la politique de cybersécurité. La présidente Rosenworcel a clairement indiqué son intention que la FCC ait un siège derrière la table de la cybersécurité et a annoncé en février qu’elle serait coprésidente du Forum indépendant et relancé sur la cybersécurité. En septembre 2021, le président par intérim de l’époque a nommé le CSRIC pour la première fois au poste de coprésident de la Cyber ​​​​Security and Infrastructure Security Agency (CISA) du Département de la sécurité intérieure, notant la coopération avec la CISA et d’autres partenaires gouvernementaux. le conseil aide à promouvoir une approche pangouvernementale en matière de sécurité et veille à ce que l’expertise fédérale pertinente soit éclairée dans l’élaboration des politiques de FAC.

Tout cela survient lorsque d’autres voient la cybersécurité comme une portée potentielle. La SEC a récemment proposé la déclaration publique obligatoire des incidents de cybersécurité. Le Congrès a souligné l’importance de veiller à ce que les agences gouvernementales fédérales coordonnent leurs efforts pour limiter l’impact de ces pouvoirs sur le secteur privé. Le Critical Infrastructure Incident Reporting Act 2022 oblige le secrétaire à la Sécurité intérieure à présider le Federal Cyber ​​​​Incident Reporting Council pour “coordonner, résoudre et harmoniser les exigences fédérales en matière de signalement des incidents, y compris celles émises en vertu de la réglementation”.[1]

[1] PL 117-103, art. 2246 (a).

* Non autorisé dans les bars du District de Columbia. Il est dirigé par des chefs d’entreprise qui sont membres du barreau du district de Columbia.

[View source.]

Leave a Comment