CISA의 예산 삭감이 기업 사이버 보안에 영향을 미칠 수 있음

CISA의 예산 삭감이 기업 사이버 보안에 영향을 미칠 수 있음

타임 스탬프 : 30 년 2023 월 3 일 오후 23:XNUMX
CISA의 예산 삭감은 기업 사이버 보안 PlatoBlockchain 데이터 인텔리전스에 영향을 미칠 수 있습니다. 수직 검색. 일체 포함.

미국 선거 및 선거 인프라에 대한 허위 정보에 맞서기 위한 미국 사이버보안 및 인프라 보안국의 노력(전체 임무 중 작은 부분)은 예산 삭감으로 이어질 수 있으며, 이로 인해 CISA의 두 가지 주요 책임인 연방 네트워크를 보호하고 사이버 공격자로부터 중요한 인프라 운영자를 지원하는 데 영향을 미칠 수 있습니다.

지난 달, 하원 공화당원의 절반 CISA에 대한 자금을 25% 삭감하는 수정안에 투표했습니다. 미국 상원에서 랜드 폴(Rand Paul) 상원의원(공화당-KY)이 사이버 보안 법안을 차단했습니다. 적어도 11 번 CISA와 그 모회사인 미국 국토안보부(DHS)가 언론의 자유를 검열하고 있다는 우려에 대해 설명합니다.

이러한 입법 노력은 이미 CISA가 책임을 다하는 것을 방해하고 있으며, 대폭적인 삭감은 어렵게 얻은 진전을 방해할 수 있다고 CISA의 전 코로나 태스크 포스 수석 전략가인 조시 코먼(Josh Corman)은 말했습니다.

Corman은 “삭감은 꽤 재앙적일 것이라고 생각합니다.”라고 말합니다. “16개 중요 인프라 부문에서 공격 밀도가 증가하고 있습니다. 이러한 공격을 처리하기 위해 예산을 줄이는 것이 아니라 늘려야 합니다.”

이러한 노력 속에서 CISA는 민간 산업, 소프트웨어 제조업체 및 사이버 보안 회사에 대한 광범위한 지원 활동에 착수했습니다. 기관은 다음과 같은 수십 개의 권고 및 지침 문서를 매달 발표합니다. XNUMX월의 경고 Snatch 랜섬웨어 서비스형 작업을 다루며 다음 목록을 유지합니다. 알려진 악용된 취약점 이는 패치 우선순위 지정에 도움이 되었습니다. CISA는 또한 소프트웨어 산업 및 오픈 소스 커뮤니티와 협력하여 다음과 같은 중요한 역할을 수행했습니다. 오픈소스 소프트웨어의 보안을 강화하다자체 도구 출시 사이버 수비수를 위한 것입니다. 마지막으로 소속사는 "부유하고 사이버 가난한" 조직을 목표로 지원하기 위해 최선을 다하고 있습니다.같은 중소기업 그리고 주 정부와 지방 정부.

자금 삭감은 역사를 되돌릴 것입니다. 초당적 예산 증가 CISA가 설립된 지 2.9년 동안 최근 회계연도에 의회는 2023년 2억 달러에서 2020년 예산을 3.1억 달러로 통과시켰습니다. 바이든 행정부는 2024년에 해당 기관에 58억 달러를 요청해 사이버보안 부서에 약 25%의 자금을 할당했고, 8%는 사이버보안 부서에 할당했습니다. 임무 지원 및 기본 서비스, 주, 지역 및 부족 파트너와의 운영 통합을 위한 6%, 인프라 보안을 위한 XNUMX% CISA 국장 Jen Easterly의 서면 증언 하원 세출위원회에.

전반적으로 CISA는 프로그램을 시작하고 실행하는 데 상당히 성공적이었으며 연방 정부 및 중요 인프라 부문의 중심 자원이 되었다고 전략 센터의 미래 전쟁, 게임 및 전략 그룹 선임 연구원인 Benjamin Jensen은 말합니다. 및 국제학(CSIS).

"조직을 설립하고 인력을 구축하기 위한 자금을 조정하기 위한 관료적 노력조차 과소평가하지 마십시오. 위기 대응, 중요 인프라 및 그들이 운영하는 공격 게임의 수를 확대합니다."라고 그는 말합니다. "부처 간 조정은 엄청난 도전이었습니다."

중요 인프라에는 CISA가 필요합니다

이후 2018년 창설, CISA는 고착된 관료 문화와 빡빡한 사이버 보안 노동 시장 - 사이버 보안 지식의 중앙 저장소이자 연방 정부와 중요 인프라 운영자 모두를 위한 중앙 서비스 제공자가 되려는 노력을 방해한 세력입니다. 2022년에는 정부회계감사원(GAO)이 결론을 내렸습니다. 기관은 이해관계자들에게 혜택을 제공했지만 중요한 인프라 보호 노력과 사이버 보안 서비스를 개선하기 위해 더 많은 노력을 기울여야 했습니다.

얼마나 많은 예산 삭감이 사이버 보안 권고, 취약성 관리 및 오픈 소스 소프트웨어 보안에 대한 기관의 성공적인 노력을 방해할지는 여전히 불확실하지만, 자금 부족으로 인해 기관의 프로그램 실행 속도가 확실히 느려질 것입니다. CISA의 작업이 제한될 경우 KEV(Known Exploited Vulnerability) 카탈로그를 취약성 관리 프로그램의 일부로 사용하거나 기업 방어를 위해 오픈 소스 도구에 의존하는 보안 팀이 잠재적으로 영향을 받을 수 있다는 것은 당연합니다.

CISA 대변인 에이버리 멀리건(Avery Mulligan)은 “우리나라는 복잡하고 긴급한 사이버 위협에 계속해서 직면하고 있는 가운데, 행정부가 요청한 금액보다 낮은 수준의 자금 지원은 미국인들이 매일 의존하는 주요 인프라의 안전과 보안을 심각한 위험에 빠뜨릴 것”이라고 말했습니다. “CISA의 전문성은 주, 지방, 부족, 자치지역 정부는 물론 민간 부문과의 파트너십과 결합되어 우리나라의 사이버 보안 태세를 크게 향상시켰습니다. 지금은 이 중요한 임무를 수행하는 능력을 축소할 때가 아닙니다.”

현재 연방 기관과 주요 인프라 부문에서 CISA의 발전은 상당하지만 고르지 않습니다. 보건 복지부 및 의료 부문과 같은 일부 부문은 “완전한 재앙”이라고 말합니다. 전략가 코먼. 환경 부문과 식품 및 농업 부문에는 사이버 보안 자원이 최소화되어 있다고 그는 말했습니다.

Corman은 “병원에 매년 700건의 몸값이 요구되므로 CISA는 이를 보호하기 위해 나서야 할 것입니다.”라고 말합니다. “25% 삭감은 [미국의] 손을 우리 등 뒤로 더욱 묶게 될 뿐입니다. 지정된 중요 인프라 부문에 대해 더 많은 조치가 필요하고 실제로 그렇게 하더라도 우리는 준비가 되어 있지 않을 것입니다.”

CISA의 미래에 대한 토론

CISA가 미국 사이버 보안을 지속적으로 강화해야 한다는 필요성에도 불구하고 CISA의 발언에 분노한 일부 의회 의원들의 반대가 커지고 있습니다. 2020년 선거의 무결성 검증 그리고 선거 허위 정보에 맞서 싸우려는 기관의 노력에 의해.

“CISA가 잘못된 정보와 허위 정보, 잘못된 정보('충분한' 맥락이 없는 진실한 정보)를 단속하는 데 관여하는 것은 수정헌법 제XNUMX조 원칙에 직접적이고 심각한 위협입니다.” 보고서를 말한다 지난 XNUMX월 공화당 의원들이 창설한 연방정부 무기화 특별 소위원회가 발표한 내용입니다.

CISA는 중요 인프라 업무의 일환으로 선거 보안에 대한 권한을 얻었으며, 이는 다음과 같이 전신인 국가 보호 프로그램 사무국으로부터 책임을 물려받았습니다. 2016년 선거에 대한 러시아의 공격. 그러나 선거에 관한 허위 진술을 단속하는 것은 틀림없이 그들의 책임이 아니며, 특히 그것이 오늘날 정치의 초당파적 성격으로 인해 기관의 운영 임무를 위협하는 경우에는 더욱 그러하다고 Corman은 말합니다.

“CISA는 자신의 업무 중 하나를 과도하게 표현했습니다. - 특히 선거 보안 - 중요한 인프라에 대한 초점을 과소 표현했습니다.”라고 그는 말합니다. "잘못된 정보는 중요한 인프라와는 거리가 먼 것처럼 보입니다. 아이디어 콘텐츠에 관해서는 그런 정보를 멀리하세요."

자금 조달은 더 큰 문제의 일부입니다

적절한 예산을 유지하는 것이 CISA의 유일한 장애물은 아닙니다. 사이버 보안 전문가를 고용하고 유지하는 것이 여전히 주요 과제입니다. 이용 가능한 가장 최근 데이터인 2022년 38월에 CISA의 사이버 보안 부서는 직원이 33% 부족했는데, 이는 XNUMX년 전의 XNUMX% 부족보다 더 큰 격차입니다. 2023 월 XNUMX 일 보고서 DHS 감찰관실에서 제공합니다.

CSIS의 Jensen은 이러한 문제를 해결하고 파이프라인을 채우는 데 자금 조달이 매우 중요하다고 말했습니다.

“그들은 홍수처럼 쏟아지는 사이버 공격을 패치했지만 이제 통합 데이터 환경과 공동 협업 환경을 통해 다음 공격이 어떻게 될지 예측한 다음 이를 실제로 탈출할 수 있는 사이버 인력과 연결해야 합니다. 문제 앞에 있다”고 말했다. “그래서 소방관은 늘어나고 소방관은 줄어듭니다.”

타임 스탬프 :

더보기 어두운 독서