A carta do Oregon Democrat, membro do comitê de inteligência, foi endereçada ao Agencia de Segurança Nacional (NSA) e a Agência de Segurança Cibernética e Infraestrutura (CISA). Diz respeito FirstNetuma rede móvel dedicada para funcionários de segurança pública, como equipes de emergência, bombeiros e agentes da lei.
A equipe de Wyden foi informada por um especialista não identificado da CISA no ano passado que “eles não confiavam na segurança da FirstNet, em grande parte porque não viram os resultados de nenhuma auditoria de segurança cibernética realizada contra esta rede governamental”, disse a carta, argumentando que era hora da autoridade compartilhar suas auditorias internas com a CISA, NSA e o Congresso.
A CISA se recusou a comentar, dizendo que responderia diretamente a Wyden. A NSA não retornou imediatamente as mensagens em busca de comentários. Funcionário da FirstNet, que foi construída por AT&T Inc, encaminhou as perguntas à empresa de telecomunicações, que por sua vez encaminhou as perguntas a um executivo da FirstNet. O executivo não retornou imediatamente as mensagens na noite de terça-feira.
A carta de Wyden faz referência ao Sistema de Sinalização No. 7 (SS7), um protocolo de décadas que permite que redes celulares internacionais troquem informações – por exemplo, quando os usuários de telefones celulares estão em roaming. O protocolo pode ser facilmente abusado, dizem os especialistas em segurança, permitindo que espiões ou hackers interceptem mensagens de texto ou localizem os usuários em tempo real.
Embora os problemas de segurança com o SS7 estejam bem documentados, Wyden disse que a falta de clareza sobre as medidas de segurança na FirstNet – que foi criada após os ataques de 11 de setembro de 2001 para fornecer uma linha robusta de comunicação para os socorristas – era particularmente preocupante.
“Essas falhas de segurança também são uma questão de segurança nacional, especialmente se os governos estrangeiros puderem explorar essas falhas para atingir o pessoal do governo dos EUA”, disse sua carta.
Gary Miller, especialista em segurança de rede móvel do Citizen Lab, da Universidade de Toronto, disse que as preocupações de Wyden eram bem fundamentadas, acrescentando que ele também estava preocupado com a opacidade “muito preocupante” em torno das auditorias.
Wyden pediu à FirstNet que compartilhe quaisquer auditorias de segurança com a NSA e a CISA ou – alternativamente – que o governo encomende suas próprias auditorias.
O Comissão Federal de Comunicaçõesa Casa Branca e o Escritório de Administração e Orçamento – todos os quais foram copiados na carta – não responderam imediatamente aos pedidos de comentários.