Budgetnedskæringer hos CISA kan påvirke virksomhedens cybersikkerhed

Det amerikanske agentur for cybersikkerhed og infrastruktursikkerheds bestræbelser på at bekæmpe desinformation om amerikanske valg og valginfrastruktur - en lille del af dets overordnede mission - kan føre til budgetnedskæringer, der påvirker CISA's to hovedansvar: at forsvare føderale netværk og hjælpe kritiske infrastrukturoperatører mod cyberangribere.

Sidste måned, halvdelen af ​​husrepublikanerne stemte for et ændringsforslag om at reducere finansieringen til CISA med 25 %. I det amerikanske senat har senator Rand Paul (R-KY) blokeret cybersikkerhedslovgivningen mindst 11 gange over bekymring for, at CISA og dets moderselskab, det amerikanske ministerium for indenrigssikkerhed (DHS), censurerer ytringsfriheden.

Disse lovgivningsmæssige bestræbelser hæmmer allerede CISA i at tage sig af dets ansvar, og enhver dyb nedskæring kan forstyrre dets hårdt tilkæmpede fremskridt, siger Josh Corman, tidligere chefstrateg for COVID Task Force hos CISA.

"Jeg tror, ​​at nedskæringer ville være ret katastrofale," siger Corman. "Vi ser en stigende angrebstæthed på tværs af de 16 kritiske infrastruktursektorer. De burde øge budgettet for at håndtere disse angreb, ikke skære ned."

Blandt sine bestræbelser har CISA påbegyndt omfattende opsøgende kontakt til den private industri, softwareproducenter og cybersikkerhedsfirmaer. Bureauet udgiver snesevis af råd og vejledningsdokumenter hver måned, som f.eks en advarsel i september dækker Snatch ransomware-as-a-service operationen og vedligeholder en liste over kendte udnyttede sårbarheder det er blevet en velsignelse for patch-prioritering. CISA har også taget en stor rolle i at samarbejde med softwareindustrien og open source-fællesskaber forbedre sikkerheden af ​​open source-software, Selv frigiver sine egne værktøjer for cyberforsvarere. Endelig har styrelsen forpligtet til at hjælpe "målrette mod rige, cyberfattige" organisationer, Såsom små og mellemstore virksomheder og statslige og lokale myndigheder.

Enhver finansieringsnedskæring ville vende en historie om todelte budgetforhøjelser for CISA i de fem år, det har eksisteret. For det seneste regnskabsår vedtog kongressen et budget på 2.9 milliarder dollars for 2023, op fra 2 milliarder dollars i 2020. Biden-administrationen anmodede om 3.1 milliarder dollars til agenturet for 2024, og allokerede omkring 58 % af midlerne til Cybersecurity Division, omkring 25 % til missionsstøtte og grundlæggende tjenester, 8 % til integration af operationer med statslige, lokale og stammepartnere og 6 % til infrastruktursikkerhed, ifølge skriftligt vidnesbyrd af CISA-direktør Jen Easterly til Husbevillingsudvalget.

Samlet set har CISA haft ret stor succes med at få programmerne op at køre og med at blive en central ressource for den føderale regering og kritiske infrastruktursektorer, siger Benjamin Jensen, en senior fellow i Future War, Gaming and Strategy-gruppen ved Center for Strategic og Internationale Studier (CSIS).

"Undervurder ikke selv blot den bureaukratiske indsats for at etablere organisationen og tilpasse finansieringen til at opbygge arbejdsstyrken for at ... opskalere antallet af kriserespons, kritisk infrastruktur og angrebsspil, de kører," siger han. "Koordineringen på tværs af myndigheder har været en monumental udfordring."

Kritisk infrastruktur kræver CISA

Siden dets oprettelse i 2018, CISA har måttet kæmpe mod både forankrede bureaukratiske kulturer og et stramt cybersikkerhedsarbejdsmarked — kræfter, der har hindret dens indsats for at blive et centralt lager af viden om cybersikkerhed og en central tjenesteudbyder for både den føderale regering og kritiske infrastrukturoperatører. I 2022, konkluderede Government Accountability Office (GAO). at agenturet havde givet fordele til sine interessenter, men havde behov for at arbejde mere hen imod at forbedre indsatsen for beskyttelse af kritisk infrastruktur og dets cybersikkerhedstjenester.

Hvor meget budgetnedskæringer der ville hæmme agenturets succesfulde indsats med cybersikkerhedsrådgivning, sårbarhedshåndtering og open source-softwaresikkerhed er fortsat usikkert, men mangel på midler ville helt sikkert bremse agenturet i at køre sine programmer. Det er naturligt, at sikkerhedsteams, der bruger kataloget Known Exploited Vulnerabilities (KEV) som en del af deres sårbarhedsstyringsprogrammer eller stoler på open source-værktøjer til virksomhedsforsvar, potentielt kan blive påvirket, hvis CISA's arbejde blev dæmpet.

"Da vores nation fortsat står over for komplekse og presserende cybertrusler, vil finansiering på niveauer under de beløb, som administrationen har anmodet om, sætte sikkerheden og sikkerheden af ​​den kritiske infrastruktur, amerikanere er afhængige af hver dag, i alvorlig fare," siger CISA-talsmand Avery Mulligan. "CISA's ekspertise, kombineret med vores partnerskaber med statslige, lokale, stamme- og territoriale regeringer samt den private sektor, har i høj grad forbedret vores nations cybersikkerhedsposition. Nu er det simpelthen ikke tid til at reducere vores evne til at udføre denne kritiske mission."

Lige nu er CISA's fremskridt blandt føderale agenturer og kritiske infrastruktursektorer betydelige, men ujævne. Nogle sektorer, såsom Department of Health and Human Services og sundhedssektoren, er "en ubetinget katastrofe," siger strateg Corman. Miljøsektoren og fødevare- og landbrugssektoren havde minimale cybersikkerhedsressourcer, siger han.

"Med 700 løsesummer om året for hospitaler bliver CISA nødt til at gå op for at hjælpe med at beskytte dem," siger Corman. “En nedskæring på 25 % vil kun binde [Amerikas] hænder yderligere bag vores ryg. Hvis vi har brug for mere handling på de udpegede kritiske infrastruktursektorer - og det gør vi - vil vi ikke være klar."

Debatterer CISA's fremtid

På trods af behovet for, at CISA skal fortsætte med at styrke USA's cybersikkerhed, står agenturet over for stigende modstand fra nogle medlemmer af Kongressen, vrede over CISA's udtalelser validering af integriteten af ​​valget i 2020 og af agenturets indsats for at bekæmpe valgdesinformation.

"CISA's involvering i politiarbejde påstået fejl- og desinformation samt fejlinformation - sandfærdig information uden 'tilstrækkelig' kontekst - er en direkte og alvorlig trussel mod principperne i First Amendment," oplyser en rapport udgivet af det udvalgte underudvalg om våbenskabelse af den føderale regering, en gruppe oprettet af republikanske repræsentanter i januar.

CISA fik autoritet til valgsikkerhed som en del af sine kritiske infrastrukturopgaver, et ansvar arvet fra dets forgænger, National Protection and Programs Directorate, efter Russiske angreb på valget i 2016. Politiet er dog uden tvivl ikke blandt deres ansvarsområder, især hvis det truer agenturets operationelle missioner på grund af den hyperpartiske karakter af nutidens politik, siger Corman.

"CISA udtrykte alt for meget en af ​​sine opgaver — specifikt valgsikkerhed — og underudtalte deres fokus på kritisk infrastruktur,” siger han. "Fejlinformation virker ret langt væk fra kritisk infrastruktur, og når det kommer til idéindhold, så hold dig væk fra det."

Finansiering er en del af et større problem

At opretholde et passende budget er ikke den eneste hindring i horisonten for CISA. En stor udfordring er fortsat at ansætte og fastholde cybersikkerhedsprofessionelle. I august 2022 var de seneste tilgængelige data, CISA's cybersikkerhedsafdeling, underbemandet med 38 %, en større forskel end manglen på 33 % et år tidligere, ifølge en Rapport fra 2023. marts af generalinspektørens kontor ved DHS.

Finansiering vil være afgørende for at løse det problem og udfylde den pipeline, siger CSIS's Jensen.

"De har lappet strømmen af ​​cyberangreb, men de skal nu begynde at forudse, hvor de næste vil være ved at bruge det integrerede datamiljø, gennem det fælles samarbejdsmiljø og derefter matche dem med en cyberarbejdsstyrke, der rent faktisk kan komme ud i foran problemer,” siger han. "Så flere brandmænd, færre brandmænd."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/edge/budget-cuts-at-cisa-could-affect-enterprise-cybersecurity