FCC stoppar import av nya konsumentroutrar

USA:s federala kommunikationsmyndighet har beordrat ett förbud mot import av nya hemroutrar som tillverkas utomlands. Myndigheten hänvisar till ”oacceptabla risker” för den nationella säkerheten och pekar på nyliga intrång som tillskrivs kinesiskt uppbackade hackergrupper. Beslutet, publicerat sent på måndagen och uppmärksammat av TechCrunch, sägs omfatta ”alla hemroutrar tillverkade i främmande länder”, medan utrustning som redan finns i hem och lager inte berörs.

Den omedelbara effekten är att ett rörigt ingenjörsproblem – hur man får ut säker, uppdateringsbar nätverksutrustning till miljontals hushåll utan central drift – görs om till ett gränskontrollproblem. Enligt TechCrunch innehåller texten ett undantag: nya produkter kan få dispens om försvarsdepartementet eller departementet för inrikes säkerhet godkänner dem. Därmed hamnar den praktiska grindvaktsmakten inte hos oberoende provningsinstitut eller ansvarsförsäkringsgivare, utan hos federala myndigheter vars drivkrafter ofta handlar om försvarbar dokumentation och politiskt begripliga beslut.

Förbudet krockar också med hur routrar faktiskt blir till. ”Utomlands tillverkad” är ingen ren kategori i en leverantörskedja där kretsar, inbyggd programvara, montering och molnbaserad administration kan vara utspridda på flera länder och underleverantörer. Enligt Reuters, som TechCrunch hänvisar till, står Kina för omkring 60 procent av marknaden för hemroutrar; att tvinga fram en snabb omställning av inköp och produktion skulle inte bara träffa kinesiska varumärken utan även amerikanska och europeiska märken som är beroende av utländsk tillverkning.

Myndigheten har inte lagt fram belägg för att routrar byggda i USA i sig skulle vara säkrare än routrar byggda utomlands. TechCrunch noterar att Salt Typhoon, en kinesiskt uppbackad spionagegrupp, har utnyttjat sårbarheter i routrar från Cisco, ett amerikanskt företag. En annan grupp, Flax Typhoon, anklagas av amerikanska myndigheter för att driva ett robotnät som riktat in sig på både amerikansktillverkade och utlandstillverkade routrar. I praktiken ligger angreppsytan oftare i kvaliteten på den inbyggda programvaran, uppdateringsmekanismer och standardinställningar – inte i vilket land slutmonteringen råkar ske.

Det är i den glipan de ekonomiska insatserna finns. Om importtillstånd blir villkorat av federalt klartecken blir efterlevnad själva produkten: stora leverantörer kan finansiera certifieringsprogram, hålla särskilda kontaktfunktioner mot staten och bära kostnaden för leveransförseningar, medan mindre konkurrenter får en ny fast kostnad bara för att ta sig in på marknaden. Beslutet skapar i praktiken en regleringsmässig strypunkt som kan användas för att rita om leverantörslandskapet utan att behöva visa att de nya apparaterna faktiskt är säkrare.

Den politiska logiken är välbekant. När en hemrouter kapas och används för övervakning eller överbelastningsangrepp är ansvaret utsmetat: en leverantör sålde den, en användare uppdaterade aldrig, en internetleverantör reagerade inte, och en angripare utnyttjade en känd brist. Ett importförbud koncentrerar berättelsen till ett enda beslut – tillåten eller stoppad – vilket gör framtida intrång lättare att rama in som att ”vi höll den farliga hårdvaran ute”, även när sårbarheterna sitter i programvara och driftpraxis.

Myndighetens ordförande Brendan Carr sade att man ska fortsätta arbeta för att säkra ”USA:s digitala miljö, kritiska infrastruktur och leverantörskedjor”. TechCrunch påpekar samtidigt att Carr var en av dem som i november röstade för att skrota cybersäkerhetsregler som krävde att teleoperatörer säkrade system för laglig avlyssning – ett område där efterlevnad är mätbar och ansvaret ligger närmare operatören.

Tills vidare lämnas befintliga routrar orörda. Nästa gång hushållen byter utrustning avgör om säkerheten faktiskt förbättras – eller om den viktigaste förändringen blir vilka som får tillstånd att sälja nästa låda.