Cortes orçamentários na CISA podem afetar a segurança cibernética empresarial

Os esforços da Agência de Segurança Cibernética e de Infraestruturas dos EUA para combater a desinformação sobre as eleições e infraestruturas eleitorais dos EUA — uma pequena parte da sua missão global — podem levar a cortes orçamentais que afetam as duas responsabilidades principais da CISA: defender as redes federais e ajudar os operadores de infraestruturas críticas contra os ciberataques.

No mês passado, metade dos republicanos da Câmara votou a favor de uma emenda para cortar o financiamento da CISA em 25%. No Senado dos EUA, o senador Rand Paul (R-KY) bloqueou a legislação de segurança cibernética pelo menos 11 vezes devido às preocupações de que a CISA e o seu controlador, o Departamento de Segurança Interna dos EUA (DHS), estejam censurando a liberdade de expressão.

Esses esforços legislativos já estão a impedir a CISA de assumir as suas responsabilidades, e quaisquer cortes profundos podem perturbar o seu progresso arduamente conquistado, afirma Josh Corman, antigo estrategista-chefe da Força-Tarefa COVID da CISA.

“Acho que os cortes seriam bastante catastróficos”, diz Corman. “Estamos vendo um aumento na densidade de ataques nos 16 setores de infraestrutura crítica. Eles deveriam aumentar o orçamento para lidar com esses ataques, e não fazer cortes.”

Entre os seus esforços, a CISA embarcou numa ampla divulgação à indústria privada, fabricantes de software e empresas de segurança cibernética. A agência divulga dezenas de documentos de aconselhamento e orientação todos os meses, como um aviso de setembro cobrindo a operação Snatch ransomware-as-a-service e mantém uma lista de vulnerabilidades exploradas conhecidas isso se tornou uma vantagem para a priorização de patches. A CISA também assumiu um papel importante na parceria com a indústria de software e comunidades de código aberto para melhorar a segurança do software de código aberto, Mesmo lançando suas próprias ferramentas para defensores cibernéticos. Por fim, a agência comprometido em ajudar organizações “ricas e ciberpobres”, como pequenas e médias empresas e governos estaduais e locais.

Quaisquer cortes de financiamento reverteriam uma história de aumentos do orçamento bipartidário para a CISA ao longo dos cinco anos de sua existência. Para o último ano fiscal, o Congresso aprovou um orçamento de US$ 2.9 bilhões para 2023, acima dos US$ 2 bilhões em 2020. A administração Biden solicitou US$ 3.1 bilhões para a agência para 2024, alocando cerca de 58% dos fundos para a Divisão de Segurança Cibernética, cerca de 25% para apoio a missões e serviços básicos, 8% para integração de operações com parceiros estaduais, locais e tribais e 6% para segurança de infraestrutura, de acordo com testemunho escrito pela diretora da CISA, Jen Easterly ao Comitê de Dotações da Câmara.

No geral, a CISA tem tido bastante sucesso em colocar programas em funcionamento e em se tornar um recurso central para o governo federal e setores de infraestrutura crítica, diz Benjamin Jensen, membro sênior do grupo Future War, Gaming, and Strategy no Center for Strategic e Estudos Internacionais (CSIS).

“Não subestime nem mesmo o esforço burocrático para configurar a organização e alinhar o financiamento para construir a força de trabalho para… aumentar o número de respostas a crises, infraestrutura crítica e jogos de ataque que eles executam”, diz ele. “A coordenação interagências tem sido um desafio monumental.”

Infraestrutura Crítica Necessita CISA

Como sua criação em 2018, a CISA teve que lutar contra culturas burocráticas arraigadas e um mercado de trabalho de segurança cibernética restrito - forças que impediram o seu esforço para se tornar um repositório central de conhecimentos de segurança cibernética e um fornecedor central de serviços tanto para o governo federal como para os operadores de infra-estruturas críticas. Em 2022, o Government Accountability Office (GAO) concluiu que a agência proporcionou benefícios às suas partes interessadas, mas precisava de trabalhar mais para melhorar os esforços de proteção de infraestruturas críticas e os seus serviços de segurança cibernética.

Ainda não se sabe até que ponto os cortes orçamentais prejudicariam os esforços bem-sucedidos da agência com aconselhamento em matéria de cibersegurança, gestão de vulnerabilidades e segurança de software de código aberto, mas a falta de fundos certamente atrasaria a execução dos seus programas pela agência. É lógico que as equipes de segurança que usam o catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) como parte de seus programas de gerenciamento de vulnerabilidades ou que dependem de ferramentas de código aberto para defesa empresarial poderiam ser potencialmente afetadas se o trabalho da CISA fosse restringido.

“À medida que a nossa nação continua a enfrentar ameaças cibernéticas complexas e urgentes, o financiamento em níveis inferiores aos montantes solicitados pela administração colocaria em sério risco a segurança e a proteção da infraestrutura crítica da qual os americanos dependem todos os dias”, disse o porta-voz da CISA, Avery Mulligan. “A experiência da CISA, combinada com as nossas parcerias com governos estaduais, locais, tribais e territoriais, bem como com o setor privado, melhoraram muito a postura de segurança cibernética do nosso país. Agora simplesmente não é o momento de reduzir a nossa capacidade de cumprir esta missão crítica.”

Neste momento, o progresso da CISA entre as agências federais e os sectores de infra-estruturas críticas é significativo, mas desigual. Alguns setores, como o Departamento de Saúde e Serviços Humanos e o setor de saúde, são “um desastre absoluto”, diz estrategista Corman. O sector ambiental e os sectores alimentar e agrícola tinham recursos mínimos de segurança cibernética, diz ele.

“Com 700 resgates por ano para hospitais, a CISA terá que tomar medidas para ajudar a protegê-los”, diz Corman. “Um corte de 25% apenas amarrará ainda mais as mãos [da América] nas nossas costas. Se precisarmos de mais ações nos setores designados de infraestruturas críticas – e precisamos – não estaremos preparados.”

Debatendo o futuro da CISA

Apesar da necessidade de a CISA continuar a reforçar a segurança cibernética dos EUA, a agência enfrenta uma oposição crescente de alguns membros do Congresso, irritados com as declarações da CISA. validando a integridade das eleições de 2020 e pelos esforços da agência para combater a desinformação eleitoral.

“O envolvimento da CISA no policiamento de supostas informações erradas e desinformadas, bem como a desinformação – informações verdadeiras sem contexto ‘suficiente’ – é uma ameaça direta e séria aos princípios da Primeira Emenda,” afirma um relatório divulgado pelo Subcomitê Selecionado para Armamento do Governo Federal, grupo criado por representantes republicanos em janeiro.

A CISA ganhou autoridade para a segurança eleitoral como parte das suas funções de infra-estruturas críticas, uma responsabilidade herdada da sua antecessora, a Direcção Nacional de Protecção e Programas, na sequência Ataques russos nas eleições de 2016. No entanto, policiar declarações falsas sobre eleições não está provavelmente entre as suas responsabilidades, especialmente se ameaçar as missões operacionais da agência devido à natureza hiperpartidária da política actual, diz Corman.

“A CISA expressou abertamente uma de suas funções - especificamente, segurança eleitoral - e subexpressaram seu foco em infraestrutura crítica”, diz ele. “A desinformação parece muito distante da infraestrutura crítica e, quando se trata de conteúdo de ideias, fique longe disso.”

O financiamento é parte de um problema maior

Manter um orçamento adequado não é o único obstáculo no horizonte da CISA. Um grande desafio continua a ser a contratação e retenção de profissionais de segurança cibernética. Em agosto de 2022, segundo os dados mais recentes disponíveis, a Divisão de Segurança Cibernética da CISA tinha 38% de falta de pessoal, uma lacuna maior do que o déficit de 33% do ano anterior, de acordo com um 2023 de março de relatório pelo Gabinete do Inspetor Geral do DHS.

O financiamento será fundamental para resolver esse problema e preencher esse pipeline, diz Jensen do CSIS.

“Eles corrigiram a enxurrada de ataques cibernéticos, mas agora precisam começar a antecipar onde estarão os próximos, por meio do uso desse ambiente de dados integrado, por meio do ambiente colaborativo conjunto, e então combiná-los com uma força de trabalho cibernética que possa realmente sair em diante dos problemas”, diz ele. “Portanto, mais bombeiros, menos bombeiros.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/edge/budget-cuts-at-cisa-could-affect-enterprise-cybersecurity