De Consumer Technology Association (CTA) heeft er onlangs bij de Federal Communications Commission (FCC) op aangedrongen om een deel van haar verbod op routers van buitenlandse makelij te heroverwegen, met name de bepaling die buitenlandse routers verbiedt die zijn goedgekeurd voor gebruik in de Verenigde Staten om software- en firmware-updates te blijven ontvangen. CTA, de organisator en eigenaar van de International Consumer Electronics Show (CES), zei in een aanvraag bij de FCC dat deze aanpak de komende jaren miljoenen routers die al in huizen en kantoren zijn ingezet, kan blootstellen aan beveiligingsproblemen.
Volgens documenten die bij de FCC zijn ingediend, hadden CTA-vertegenwoordigers vorige week een ontmoeting met de FCC over dit "verbod op buitenlandse routers". De CTA benadrukte dat zij het algemene doel van de huidige Trump-regering ondersteunt, namelijk het versterken van de controles op apparatuur en diensten die geacht worden “onaanvaardbare veiligheidsrisico’s” met zich mee te brengen op grond van de nationale veiligheid. De vereniging wees er echter op dat als software- en firmware-updates worden verboden voor apparaten die al in gebruik zijn, het resultaat waarschijnlijk het tegenovergestelde zal zijn van de oorspronkelijke bedoeling: niet alleen zal de beveiliging niet worden verbeterd, maar zullen nieuwe veiligheidsrisico's zich in de toekomst blijven opstapelen.
Momenteel heeft de FCC een tijdelijke vrijstelling uitgevaardigd waardoor routers van buitenlandse makelij die eerder zijn geautoriseerd voor verkoop en gebruik in de Verenigde Staten, software- en firmware-updates kunnen blijven ontvangen, inclusief beveiligingspatches en compatibiliteitsoplossingen, tot ten minste 1 maart 2027. De CTA wil dat de toezichthouder deze ‘deadline’ intrekt of op zijn minst verder verlengt. De organisatie benadrukte tegenover de FCC dat voortdurende updates vaak een van de meest effectieve manieren zijn om met beveiligingsrisico's om te gaan, vooral voor apparatuur die op locaties van eindgebruikers is ingezet en op korte termijn niet als geheel kan worden vervangen.
De CTA waarschuwt dat het stopzetten van dergelijke updates nadat de vrijstellingsperiode is verstreken, onmiddellijk zal leiden tot een groot aantal "niet-onderhouden" routers. Deze apparaten blijven werken en verbonden blijven, maar ontvangen geen beveiligingsoplossingen meer. In dit geval zullen ze steeds aantrekkelijkere doelwitten worden voor botnetexploitanten en door de staat gesponsorde hackers, waardoor het risico van de algehele netwerkomgeving wordt vergroot.
Volgens de instructies van de FCC van maart dit jaar is het bureau van plan om routers die in het buitenland zijn geproduceerd toe te voegen aan de 'Covered List'. Eenmaal op de lijst geplaatst, zullen nieuwe, in het buitenland gemaakte routers voor consumentengebruik geen FCC-autorisatie kunnen verkrijgen zonder eerst voorwaardelijke goedkeuring te hebben ontvangen van het Amerikaanse ministerie van Defensie of het ministerie van Binnenlandse Veiligheid. Dit betekent dat de drempel voor nieuwe producten om de Amerikaanse markt te betreden in de toekomst aanzienlijk zal worden verhoogd, terwijl de daaropvolgende ondersteuning voor bestaande apparaten afhankelijk is van vrijstellingen en beleidsaanpassingen.
Hoewel het algemene toezicht strenger is geworden, hebben sommige fabrikanten het voortouw genomen bij het verkrijgen van uitzonderingskwalificaties. Onder hen is Netgear een van de eerste merken die is vrijgesteld. De vrijstelling geldt voor routers uit de Nighthawk- en Orbi-serie, evenals voor enkele bekabelde gateways en kabelmodems. De vrijstelling geldt tot 1 oktober 2027. Ook de Service Delivery Gateway-class router van Adtran is goedgekeurd, en op die datum eindigt ook de vrijstellingsperiode.
Onlangs ontving Amazon's eero LLC ook een voorwaardelijke vrijstelling. De productlijn van eero, eero Pro, eero Max, eero PoE, eero Outdoor, eero Signal en routers met de codenaam Amazon Leo mogen tot 31 oktober 2027 worden bijgewerkt. Ondertussen zoekt TP-Link, dat een groot aandeel heeft in de Amerikaanse routermarkt voor consumenten, nog steeds actief op zoek naar zijn eigen vrijstelling. Het bedrijf heeft herhaaldelijk benadrukt dat het bedrijf, hoewel het zijn oorsprong vindt in China, momenteel zijn hoofdkantoor heeft in Irvine, Californië, en daarom als een Amerikaans bedrijf moet worden beschouwd.
De FCC zei dat ze de tijdelijke verlengingsvrijstelling opnieuw zou evalueren voordat deze afloopt. De CTA is echter van mening dat het wachten tot dichter bij de deadline om een beslissing te nemen ertoe zal leiden dat consumenten, fabrikanten van apparatuur en detailhandelaren de komende jaren met grote onzekerheid zullen worden geconfronteerd. In de ogen van veel gebruikers worden routers voor thuis en op kantoor vaak gezien als apparaten voor de lange termijn die 'vele jaren' kunnen worden gebruikt. Zodra het updatebeleid plotseling verandert, kunnen zowel de toeleveringsketen als de voorbereidingen op het gebied van de gebruikersbeveiliging moeite hebben dit bij te houden.