Les coupes budgétaires chez CISA pourraient affecter la cybersécurité des entreprises

Les efforts de l'Agence américaine de cybersécurité et de sécurité des infrastructures pour lutter contre la désinformation sur les élections américaines et les infrastructures électorales – une infime partie de sa mission globale – pourraient conduire à des coupes budgétaires qui affecteraient les deux principales responsabilités de la CISA : défendre les réseaux fédéraux et aider les opérateurs d'infrastructures critiques contre les cyberattaquants.

Le mois dernier, la moitié des Républicains de la Chambre ont voté pour un amendement visant à réduire le financement de la CISA de 25 %. Au Sénat américain, le sénateur Rand Paul (R-KY) a bloqué la législation sur la cybersécurité au moins 11 fois en raison des inquiétudes selon lesquelles la CISA et sa société mère, le Département américain de la sécurité intérieure (DHS), censurent la liberté d'expression.

Ces efforts législatifs empêchent déjà la CISA d’assumer ses responsabilités, et toute réduction importante pourrait perturber ses progrès durement gagnés, déclare Josh Corman, ancien stratège en chef du groupe de travail COVID de la CISA.

« Je pense que des réductions seraient assez catastrophiques », dit Corman. « Nous constatons une densité d’attaques croissante dans les 16 secteurs d’infrastructures critiques. Ils devraient augmenter le budget pour faire face à ces attaques, et non le réduire. »

Parmi ses efforts, la CISA s'est lancée dans une vaste campagne de sensibilisation auprès du secteur privé, des éditeurs de logiciels et des entreprises de cybersécurité. L'agence publie chaque mois des dizaines d'avis et de documents d'orientation, tels que un avertissement de septembre couvrant l’opération Snatch ransomware-as-a-service, et tient à jour une liste de vulnérabilités exploitées connues c’est devenu une aubaine pour la priorisation des correctifs. CISA a également joué un rôle majeur en établissant des partenariats avec l'industrie du logiciel et les communautés open source pour améliorer la sécurité des logiciels open source, Même publier ses propres outils pour les cyberdéfenseurs. Enfin, l'agence a déterminé à aider les organisations « à cibler les riches et les cyberpauvres » tels que petites et moyennes entreprises et les gouvernements des États et locaux.

Toute réduction du financement renverserait une histoire de le budget bipartisan augmente pour CISA au cours des cinq années de son existence. Pour le dernier exercice financier, le Congrès a adopté un budget de 2.9 milliards de dollars pour 2023, contre 2 milliards de dollars en 2020. L'administration Biden a demandé 3.1 milliards de dollars pour l'agence pour 2024, allouant environ 58 % des fonds à la division Cybersécurité, environ 25 % à celle-ci. soutien aux missions et services de base, 8 % pour l'intégration des opérations avec les partenaires étatiques, locaux et tribaux, et 6 % pour la sécurité des infrastructures, selon témoignage écrit de la directrice de la CISA, Jen Easterly au comité des crédits de la Chambre.

Dans l'ensemble, la CISA a assez bien réussi à mettre en place des programmes et à devenir une ressource centrale pour le gouvernement fédéral et les secteurs des infrastructures critiques, déclare Benjamin Jensen, chercheur principal au sein du groupe Future War, Gaming, and Strategy au Center for Strategic. et études internationales (CSIS).

« Ne sous-estimez même pas l’effort bureaucratique nécessaire pour mettre en place l’organisation et aligner le financement pour renforcer la main-d’œuvre afin… d’augmenter le nombre de réponses aux crises, d’infrastructures critiques et de jeux d’attaque qu’ils organisent », dit-il. « La coordination inter-agences a été un défi monumental. »

Les infrastructures critiques ont besoin de la CISA

Depuis que sa création en 2018, la CISA a dû lutter à la fois contre des cultures bureaucratiques enracinées et un marché du travail tendu en matière de cybersécurité - forces qui ont entravé ses efforts pour devenir un référentiel central de connaissances en matière de cybersécurité et un fournisseur de services central à la fois pour le gouvernement fédéral et les opérateurs d’infrastructures critiques. En 2022, le Government Accountability Office (GAO) a conclu que l'agence avait apporté des avantages à ses parties prenantes mais devait travailler davantage à l'amélioration des efforts de protection des infrastructures critiques et de ses services de cybersécurité.

L'ampleur des coupes budgétaires qui entraveraient les efforts réussis de l'agence en matière d'avis de cybersécurité, de gestion des vulnérabilités et de sécurité des logiciels open source reste incertaine, mais un manque de fonds ralentirait certainement l'agence dans la gestion de ses programmes. Il va de soi que les équipes de sécurité utilisant le catalogue de vulnérabilités exploitées connues (KEV) dans le cadre de leurs programmes de gestion des vulnérabilités ou s'appuyant sur les outils open source pour la défense de l'entreprise pourraient potentiellement être affectées si le travail de CISA était limité.

"Alors que notre pays continue de faire face à des cybermenaces complexes et urgentes, un financement inférieur aux montants demandés par l'administration mettrait en danger la sûreté et la sécurité des infrastructures critiques dont les Américains dépendent chaque jour", a déclaré le porte-parole de la CISA, Avery Mulligan. « L'expertise de CISA, combinée à nos partenariats avec les gouvernements étatiques, locaux, tribaux et territoriaux, ainsi qu'avec le secteur privé, ont considérablement amélioré la posture de cybersécurité de notre pays. Ce n’est tout simplement pas le moment de réduire notre capacité à mener à bien cette mission critique.

À l'heure actuelle, les progrès de la CISA parmi les agences fédérales et les secteurs des infrastructures critiques sont significatifs mais inégaux. Certains secteurs, tels que le ministère de la Santé et des Services sociaux et le secteur de la santé, constituent « un désastre total », déclare stratège Corman. Le secteur environnemental ainsi que les secteurs de l’alimentation et de l’agriculture disposaient de ressources minimales en matière de cybersécurité, dit-il.

« Avec 700 rançons par an pour les hôpitaux, la CISA va devoir intervenir pour aider à les protéger », déclare Corman. « Une réduction de 25 % ne fera que lier davantage les mains [de l'Amérique] dans notre dos. Si nous avons besoin de plus d’action dans les secteurs d’infrastructures critiques désignés – et nous le faisons – nous ne serons pas prêts.

Débattre de l'avenir de la CISA

Malgré la nécessité pour la CISA de continuer à renforcer la cybersécurité américaine, l'agence fait face à une opposition croissante de la part de certains membres du Congrès, irrités par les déclarations de la CISA. valider l’intégrité des élections de 2020 et par les efforts de l'agence pour lutter contre la désinformation électorale.

"L'implication de la CISA dans la lutte contre les allégations de mésinformation et de désinformation, ainsi que contre la malinformation - des informations véridiques sans contexte" suffisant "- constitue une menace directe et sérieuse pour les principes du premier amendement", déclare un rapport publié par le sous-comité spécial sur la militarisation du gouvernement fédéral, un groupe créé par des représentants républicains en janvier.

La CISA a acquis l'autorité en matière de sécurité électorale dans le cadre de ses fonctions liées aux infrastructures critiques, une responsabilité héritée de son prédécesseur, la Direction nationale de la protection et des programmes, à la suite Attaques russes contre les élections de 2016. Cependant, contrôler les fausses déclarations sur les élections ne fait sans doute pas partie de leurs responsabilités, surtout si cela menace les missions opérationnelles de l'agence en raison de la nature hyperpartisane de la politique actuelle, explique Corman.

« CISA a trop exprimé l'un de ses objectifs - plus précisément, la sécurité des élections - et ont sous-exprimé leur attention sur les infrastructures critiques », dit-il. « La désinformation semble assez éloignée des infrastructures critiques, et lorsqu’il s’agit de contenu d’idées, restez à l’écart. »

Le financement fait partie d’un problème plus vaste

Le maintien d’un budget adéquat n’est pas le seul obstacle à l’horizon pour la CISA. Un défi majeur reste celui du recrutement et de la rétention des professionnels de la cybersécurité. En août 2022, selon les données les plus récentes disponibles, la division Cybersécurité de la CISA manquait de personnel de 38 %, un écart plus important que le manque à gagner de 33 % un an plus tôt, selon un rapport. Rapport du 2023 mars par le Bureau de l'Inspecteur général du DHS.

Le financement sera essentiel pour résoudre ce problème et remplir ce pipeline, affirme Jensen du SCRS.

« Ils ont corrigé le flot de cyberattaques, mais ils doivent maintenant commencer à anticiper où se produiront les prochaines en utilisant cet environnement de données intégré, via l'environnement collaboratif commun, puis en les associant à une cyber-main d'œuvre qui peut réellement intervenir. face aux problèmes », dit-il. "Donc plus de commissaires aux incendies, moins de pompiers."

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/edge/budget-cuts-at-cisa-could-affect-enterprise-cybersecurity