FCC tuyên bố router nước ngoài 'gây rủi ro không thể chấp nhận', giờ cần phê duyệt đặc biệt để bán tại Mỹ

Như một phần trong chiến lược củng cố quốc phòng, Ủy ban Truyền thông Liên bang Mỹ (FCC) đã đưa "tất cả router cấp tiêu dùng được sản xuất tại nước ngoài" vào Danh sách Bị Kiểm soát. Điều này có nghĩa router nước ngoài giờ đây "được coi là gây ra rủi ro không thể chấp nhận đối với an ninh quốc gia của Mỹ hoặc an toàn và an ninh của người Mỹ" và sẽ cần sự cho phép đặc biệt để được bán tại Mỹ.

FCC lưu ý rằng "các hạn chế áp dụng hôm nay áp dụng cho các mẫu thiết bị mới", không phải những router người tiêu dùng đã sở hữu, hoặc những sản phẩm đang được bán và tiếp thị đã được FCC phê duyệt trước đó. Đây được coi là một ứng dụng của chiến lược của Tổng thống Trump nhằm "tái đảm bảo khả năng tiếp cận độc lập và đáng tin cậy của chúng ta đối với hàng hóa cần thiết để bảo vệ bản thân và duy trì lối sống của chúng ta". Tức là, kinh tế biệt lập, bề ngoài là vì an ninh quốc gia.

Việc đưa router, cụ thể, vào danh sách này là hợp lý, xét đến các vectơ tấn công tiềm năng mà chúng mở ra. Và nếu những router đó được sản xuất ở nước ngoài, việc một quốc gia thận trọng là điều dễ hiểu. Chúng ta đã từng thấy, chẳng hạn, router TP-Link bị tin tặc chiếm quyền điều khiển, những kẻ này làm việc thay mặt cho chính phủ Trung Quốc. Và đã có những lời kêu gọi cấm các router này từ lâu.

Quyết định của FCC được thông báo dựa trên xác định chuyên gia liên cơ quan giải thích về rủi ro: "Xét đến tầm quan trọng của router đối với hoạt động thành công của nền kinh tế và quốc phòng nước ta, Hoa Kỳ không thể tiếp tục phụ thuộc vào các quốc gia nước ngoài để sản xuất router... Router bị xâm phạm có thể cho phép giám sát mạng chuyên sâu, đánh cắp dữ liệu, tấn công botnet và truy cập trái phép vào mạng của chính phủ Mỹ hoặc doanh nghiệp Mỹ... router sản xuất nước ngoài mang lại những rủi ro bổ sung và không thể chấp nhận đối với người Mỹ".

Tuyên bố này trích dẫn một báo cáo từ CISA, NSA và FBI nói rằng các cơ quan này "đánh giá rằng các tác nhân mạng do nhà nước Cộng hòa Nhân dân Trung Hoa (PRC) tài trợ đang tìm cách định vị trước trên các mạng CNTT để thực hiện các cuộc tấn công mạng gây gián đoạn hoặc phá hủy nhằm vào cơ sở hạ tầng quan trọng của Mỹ trong trường hợp xảy ra khủng hoảng lớn hoặc xung đột với Hoa Kỳ".

Những lo ngại này không có gì mới, vì bất kỳ ai quan tâm đến an ninh mạng đều có thể đã thấy sự tập trung ngày càng tăng vào các cuộc tấn công 'chuỗi cung ứng' trong một hoặc hai năm qua. Ví dụ, Dự án Bảo mật Ứng dụng Web Mở (OWASP) gần đây đã nói "các lỗi chuỗi cung ứng phần mềm" là một trong những rủi ro bảo mật ứng dụng web hàng đầu. Nói cách khác, các lỗ hổng ở nguồn (hoặc một số điểm khác trong chuỗi cung ứng) đang trở thành một vấn đề thực sự. Thêm vào đó là một số rủi ro can thiệp gia tăng từ các cơ quan nhà nước của nhà sản xuất, và bạn có thể hiểu tại sao các biện pháp phòng ngừa có thể là thận trọng.

Do đó là lệnh cấm đối với router nước ngoài mới. Tuy nhiên, đây không phải là lệnh cấm toàn diện không thể phá vỡ, vì xác định chuyên gia nêu rõ—và FCC đồng ý—rằng phải có cách để router được phê duyệt: "Để tạo điều kiện cho giai đoạn chuyển tiếp này, các thực thể sản xuất router ở nước ngoài được khuyến khích nộp đơn xin Phê duyệt Có điều kiện (Phụ lục A), nếu được chấp thuận, sẽ cho phép các nhà sản xuất như vậy tiếp tục nhận được sự ủy quyền của FCC cho sản phẩm của họ trong khi họ làm việc để giải quyết các mối quan ngại an ninh quốc gia của chính phủ Hoa Kỳ được mô tả ở trên".

Vì vậy, không phải tất cả router TP-Link sẽ biến mất trong một đám khói và bạn sẽ có nhà nước gõ cửa để thu giữ hàng lậu. Thay vào đó, có vẻ như chính phủ Mỹ đang trở nên nghiêm túc hơn một chút trong việc đảm bảo các thiết bị mạng mà họ cho phép nhập khẩu là an toàn và không gây ra mối đe dọa an ninh quốc gia.