Con unanimidad bipartidista, la Comisión Federal de Comunicaciones avanzó el jueves una reglamentación que pondría nuevos requisitos del Sistema de Alerta de Emergencia en la radio y otros participantes. El esfuerzo tiene como objetivo garantizar que tanto EAS como el sistema de alertas de emergencia inalámbricas (WEA) estén listos para funcionar si es necesario, así como abordar las posibles vulnerabilidades de los piratas informáticos.
Los comisionados dijeron que también quieren traer más rendición de cuentas a las empresas que eluden sus responsabilidades.
La jefa de la Oficina de Seguridad Pública y Seguridad Nacional, Debra Jordan, dijo que varios incidentes de seguridad recientes han ‘generado preocupaciones’ sobre si se necesitan medidas de seguridad más estrictas.
“Si bien el Sistema de Alerta de Emergencia y las Alertas de Emergencia Inalámbricas son sólidas en general, las partes interesadas en estos sistemas deben estar atentas y ser proactivas para garantizar que sigan siéndolo”, dijo, y agregó: “Se puede hacer más”.
La propuesta (PS Expediente No. 22-329) incluye un nuevo requisito de que las estaciones de radio y otros participantes de EAS informen incidentes de acceso no autorizado a su equipo de EAS dentro de las 72 horas. La FCC también propone a los participantes que informen cualquier incidente de piratería cibernética a otros sistemas y servicios de comunicaciones que potencialmente podrían afectar su equipo EAS. La agencia dice que la información podría aprovecharse para comprender mejor la prevalencia y las tendencias asociadas con tales ataques en todo el país. Las reglas actuales ya requieren que la FCC sea notificada dentro de las 24 horas si una estación descubre que envió una alerta falsa al público.
La FCC también está contemplando nuevas reglas que requerirían que los participantes de EAS y WEA certifiquen anualmente que están utilizando suficientes medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de sus respectivos sistemas de alerta.
La FCC también está considerando implementar una certificación de que existe un plan de gestión de riesgos de ciberseguridad. Dichos planes discutirían cómo las estaciones identifican los riesgos cibernéticos que enfrentan, determinan los pasos preventivos que están tomando para mitigar los riesgos y aseguran que los controles se apliquen a lo largo de su operación. Una idea es hacer que la certificación forme parte de la presentación anual del Formulario Uno del Sistema de Informes de Pruebas de EAS (ETRS) durante las pruebas a nivel nacional.
El comisionado Geoffrey Starks dijo que está feliz de ver que los informes permanecerán confidenciales. “Es integral que nuestras redes estén protegidas y los proveedores tomen medidas afirmativas para hacerlo como parte de sus operaciones normales. Debemos estar atentos para evitar situaciones en las que muchos participantes de EAS no actualizaron sus sistemas”, dijo.
La FCC dice que la certificación también está justificada por el registro. Muestra que, a pesar de los repetidos avisos para actualizar el software EAS, cuando se realizó la prueba nacional en 2021, más de 5 mil estaciones de radio y otros participantes utilizaron software obsoleto o equipos que ya no admitían actualizaciones regulares.
La presidenta de la FCC, Jessica Rosenworcel, dijo que su esfuerzo ayudará a garantizar que EAS y WEA funcionen durante una emergencia. “El Departamento de Seguridad Nacional determinó recientemente que parte de esta infraestructura de alerta es susceptible a graves vulnerabilidades de seguridad. Si bien se han lanzado algunos parches para corregir estos defectos, no todos los han instalado. Estamos comprometidos a arreglar eso aquí y ahora”, dijo.
Responsabilidad más allá de las casillas marcadas
Como parte de la elaboración de reglas, la FCC también está revisando si se modifica el tiempo que una estación puede permanecer en el aire a pesar de tener un equipo EAS defectuoso. Según las reglas actuales, la FCC otorga a las estaciones 60 días. Pero la reglamentación está analizando si ese enfoque es efectivo y si un plazo más corto podría resolver los problemas más rápidamente.
El comisionado Nathan Simington presionó por una mayor responsabilidad, diciendo que con demasiada frecuencia el cumplimiento se convierte en ‘ejercicios de cumplimiento de verificación de casillas’ en los formularios, lo que él cree que está divorciado del objetivo de evitar que los atacantes derriben o secuestren los sistemas. Simington cree que los participantes también deben ser responsables por no entregar alertas EAS o WEA o por no prevenir una alerta falsa causada por sus prácticas de seguridad negligentes.
“La mejor manera de asegurarse de que se concentren en la seguridad es responsabilizarlos por sus fallas. La rendición de cuentas también previene una carrera hacia el abismo. Evita que las empresas que escatiman en seguridad socaven a las empresas responsables”, dijo Simington.
Rosenworcel anunció por primera vez a principios de septiembre que estaba haciendo circular la propuesta entre los comisionados. Con un sólido apoyo, rápidamente apareció en la agenda. Ahora la FCC comenzará a recibir comentarios sobre sus propuestas, aunque la suerte parece estar echada ya que cada uno de los comisionados respaldó firmemente las ideas tal como fueron presentadas durante su reunión mensual el jueves.
“Necesitamos que este sistema de alerta esté listo para funcionar en cualquier momento. Necesitamos que sea preciso y que las personas tengan una gran confianza en que pueden actuar en función de la información que reciben a través de él”, dijo el comisionado Brendan Carr.
Esta nota fue realizada con base en un artículo publicado por Inside Radio.