Amerikaanse cyberwaakhond heeft 'geen vertrouwen' in veiligheid van mobiel netwerk van Amerikaanse hulpdiensten - senator

De Amerikaanse cyberwaakhond heeft er geen vertrouwen in dat het cellulaire netwerk dat door Amerikaanse hulpverleners en het leger wordt gebruikt, beveiligd is tegen digitale inbraken, aldus de Amerikaanse senator Ron Wyden in een brief die woensdag is vrijgegeven.

De brief van de Democraat uit Oregon, die lid is van de inlichtingencommissie, was gericht aan het National Security Agency (NSA) en het Cybersecurity and Infrastructure Security Agency (CISA). De brief gaat over FirstNet, een speciaal mobiel netwerk voor openbare veiligheidsfunctionarissen zoals hulpverleners, brandweerlieden en ordehandhavers.

Wydens medewerkers kregen vorig jaar van een niet-geïdentificeerde CISA-deskundige te horen dat ze "geen vertrouwen hadden in de beveiliging van FirstNet, grotendeels omdat ze de resultaten van cyberbeveiligingsaudits van dit netwerk, dat alleen voor de overheid is bestemd, niet hebben gezien", aldus de brief, waarin wordt gesteld dat het tijd is dat de autoriteit haar interne audits deelt met CISA, NSA en het Congres.

CISA gaf geen commentaar en zei dat het Wyden rechtstreeks zou antwoorden. NSA antwoordde niet onmiddellijk op vragen om commentaar. Een werknemer van FirstNet, dat gebouwd is door AT&T Inc, verwees vragen door naar het telecommunicatiebedrijf, dat op zijn beurt vragen doorverwees naar een leidinggevende van FirstNet. De leidinggevende reageerde dinsdag laat niet direct op vragen.

Wydens brief verwijst naar Signaling System No. 7 (SS7), een decennia oud protocol dat internationale cellulaire netwerken in staat stelt om informatie uit te wisselen - bijvoorbeeld wanneer gebruikers van mobiele telefoons roamen. Veiligheidsexperts zeggen dat het protocol gemakkelijk misbruikt kan worden, waardoor spionnen of hackers tekstberichten kunnen onderscheppen of de locatie van gebruikers in realtime kunnen bepalen.

Hoewel de veiligheidsproblemen met SS7 goed gedocumenteerd zijn, zei Wyden dat het gebrek aan duidelijkheid over de veiligheidsmaatregelen bij FirstNet - dat in de nasleep van de aanslagen van 11 september 2001 werd opgezet om een robuuste communicatielijn voor eerstehulpverleners te bieden - bijzonder zorgwekkend was.

"Deze veiligheidsgebreken zijn ook een probleem voor de nationale veiligheid, vooral als buitenlandse regeringen deze gebreken kunnen misbruiken om Amerikaans overheidspersoneel aan te vallen," stond er in zijn brief.

Gary Miller, een expert op het gebied van mobiele netwerkbeveiliging bij het Citizen Lab van de Universiteit van Toronto, zei dat de zorgen van Wyden gegrond waren, en voegde eraan toe dat ook hij zich zorgen maakte over de "zeer verontrustende" ondoorzichtigheid rond de audits.

Wyden riep FirstNet op om veiligheidsaudits te delen met de NSA en CISA of - als alternatief - dat de overheid zelf audits laat uitvoeren.

De Federal Communications Commission, het Witte Huis en het Office of Management and Budget - die allemaal een kopie kregen van de brief - reageerden niet onmiddellijk op verzoeken om commentaar.