FCC бьёт тревогу: SS7 и Diameter – ахиллесова пята телефонной безопасности США

Федеральная комиссия по связи (FCC) США активизировала усилия по укреплению безопасности устаревших элементов американских телефонных сетей. Основное внимание уделено протоколам Signaling System Number 7 (SS7) и Diameter, используемым операторами для обеспечения взаимосвязи сетей, которые, как выяснилось, могут быть использованы иностранными правительствами и службами наблюдения для удалённой кибершпионской деятельности.

SS7 был разработан в середине 1970-х, а Diameter — в конце 1990-х. Оба протокола обладают уязвимостями, делающими возможным отслеживание местоположения телефонов, перенаправление звонков и текстовых сообщений для перехвата информации, а также наблюдение за пользователями. FCC указывает на увеличение риска эксплуатации данных уязвимостей в связи с расширением покрытия и увеличением числа участников сетей.

27 марта комиссия призвала телекоммуникационные компании сообщить, какие меры принимаются для предотвращения злоупотреблений уязвимостей SS7 и Diameter, а также запросила информацию о любых инцидентах эксплуатации данных протоколов с 2018 года.

Этот запрос был вызван обращением сенатора Рона Уайдена (D-OR), который подчеркнул необходимость решения проблемы слабой кибербезопасности операторов мобильной связи, указывая на угрозы, создаваемые уязвимостями SS7 и Diameter. Уайден особо отметил, что эти проблемы используются авторитарными режимами для слежки и получения информации о гражданах.

В прошлом сенатор Уайден уже обращал внимание на проблемы безопасности, связанные с SS7, и призывал к принятию мер для устранения данных уязвимостей как вопроса национальной безопасности. Он также выразил намерение сотрудничать с FCC для разработки обязательных стандартов кибербезопасности для защиты телефонных сетей США.

Ответы от заинтересованных сторон ожидаются до 26 апреля, после чего у FCC будет месяц на подготовку ответа. Это обращение FCC и заявления сенатора Уайдена подчёркивают серьёзность угроз, связанных с уязвимостями в телефонных сетях, и необходимость принятия срочных мер для укрепления кибербезопасности.