I tagli al budget del CISA potrebbero incidere sulla sicurezza informatica aziendale

Gli sforzi della US Cybersecurity and Infrastructure Security Agency per combattere la disinformazione sulle elezioni e sulle infrastrutture elettorali statunitensi – una piccola parte della sua missione complessiva – potrebbero portare a tagli di bilancio che influiscono sulle due principali responsabilità della CISA: difendere le reti federali e aiutare gli operatori di infrastrutture critiche contro gli attacchi informatici.

Il mese scorso, metà dei repubblicani alla Camera ha votato a favore di un emendamento volto a tagliare i finanziamenti alla CISA del 25%. Al Senato degli Stati Uniti, il senatore Rand Paul (R-KY) ha bloccato la legislazione sulla sicurezza informatica almeno 11 volte per le preoccupazioni che la CISA e il suo genitore, il Dipartimento americano per la sicurezza interna (DHS), stiano censurando la libertà di parola.

Questi sforzi legislativi stanno già impedendo alla CISA di assumersi le proprie responsabilità, e qualsiasi taglio profondo potrebbe ostacolare i suoi progressi duramente conquistati, afferma Josh Corman, ex capo stratega della Task Force COVID presso la CISA.

“Penso che i tagli sarebbero piuttosto catastrofici”, afferma Corman. “Stiamo assistendo ad una crescente densità di attacchi nei 16 settori delle infrastrutture critiche. Dovrebbero aumentare il budget per gestire questi attacchi, non ridurlo”.

Tra i suoi sforzi, CISA ha intrapreso un’ampia attività di sensibilizzazione verso l’industria privata, i produttori di software e le aziende di sicurezza informatica. L'agenzia pubblica ogni mese decine di avvisi e documenti di orientamento, come ad esempio un avvertimento di settembre copre l'operazione Snatch ransomware-as-a-service e mantiene un elenco di vulnerabilità note sfruttate questo è diventato un vantaggio per la definizione delle priorità delle patch. CISA ha inoltre assunto un ruolo importante nella collaborazione con l'industria del software e le comunità open source migliorare la sicurezza del software open source, Anche liberando i propri strumenti per i difensori informatici. Infine, l'agenzia ha impegnata ad aiutare le organizzazioni “ricchissime e cyber-povere”., come piccole e medie imprese e governi statali e locali.

Eventuali tagli ai finanziamenti invertirebbero una storia di aumenti di bilancio bipartisan per la CISA nei cinque anni della sua esistenza. Per l’ultimo anno fiscale, il Congresso ha approvato un budget di 2.9 miliardi di dollari per il 2023, rispetto ai 2 miliardi di dollari del 2020. L’amministrazione Biden ha richiesto 3.1 miliardi di dollari per l’agenzia per il 2024, assegnando circa il 58% dei fondi per la divisione Cybersecurity, circa il 25% per supporto alle missioni e servizi di base, 8% per l'integrazione delle operazioni con partner statali, locali e tribali e 6% per la sicurezza delle infrastrutture, secondo testimonianza scritta del direttore del CISA Jen Easterly alla commissione stanziamenti della Camera.

Nel complesso, CISA ha avuto un discreto successo nel mettere in piedi e far funzionare i programmi e nel diventare una risorsa centrale per il governo federale e i settori delle infrastrutture critiche, afferma Benjamin Jensen, membro senior del gruppo Future War, Gaming, and Strategy presso il Center for Strategic e Studi Internazionali (CSIS).

“Non sottovalutare nemmeno solo lo sforzo burocratico per creare l’organizzazione e allineare i finanziamenti per costruire la forza lavoro per… aumentare il numero di risposte alle crisi, infrastrutture critiche e giochi di attacco che gestiscono”, dice. “Il coordinamento tra agenzie è stata una sfida enorme”.

Le infrastrutture critiche hanno bisogno del CISA

Dal la sua creazione nel 2018, la CISA ha dovuto combattere sia contro le culture burocratiche radicate che contro quelle un mercato del lavoro ristretto per la sicurezza informatica - forze che hanno ostacolato i suoi sforzi per diventare un deposito centrale delle conoscenze sulla sicurezza informatica e un fornitore centrale di servizi sia per il governo federale che per gli operatori delle infrastrutture critiche. Nel 2022, ha concluso il Government Accountability Office (GAO). che l’agenzia aveva fornito vantaggi ai suoi stakeholder ma doveva lavorare di più per migliorare gli sforzi di protezione delle infrastrutture critiche e i suoi servizi di sicurezza informatica.

Resta incerto l’entità dei tagli al budget che ostacolerebbero gli sforzi proficui dell’agenzia con consulenza sulla sicurezza informatica, gestione delle vulnerabilità e sicurezza del software open source, ma la mancanza di fondi rallenterebbe sicuramente l’agenzia nella gestione dei suoi programmi. È ovvio che i team di sicurezza che utilizzano il catalogo Known Exploited Vulnerabilities (KEV) come parte dei loro programmi di gestione delle vulnerabilità o che si affidano a strumenti open source per la difesa aziendale potrebbero essere potenzialmente colpiti se il lavoro di CISA venisse limitato.

“Mentre la nostra nazione continua ad affrontare minacce informatiche complesse e urgenti, finanziamenti a livelli inferiori agli importi richiesti dall’amministrazione metterebbero a serio rischio la sicurezza delle infrastrutture critiche su cui gli americani fanno affidamento ogni giorno”, afferma il portavoce della CISA Avery Mulligan. “L'esperienza di CISA, combinata con le nostre partnership con governi statali, locali, tribali e territoriali, nonché con il settore privato, hanno notevolmente migliorato la posizione di sicurezza informatica della nostra nazione. Semplicemente ora non è il momento di ridurre la nostra capacità di portare a termine questa missione fondamentale”.

Al momento, i progressi della CISA tra le agenzie federali e i settori delle infrastrutture critiche sono significativi ma disomogenei. Alcuni settori, come il Dipartimento della Salute e dei Servizi Umani e il settore sanitario, sono “un disastro assoluto”, afferma stratega Corman. Il settore ambientale, quello alimentare e quello agricolo disponevano di risorse minime per la sicurezza informatica, afferma.

“Con 700 riscatti all’anno per gli ospedali, la CISA dovrà farsi avanti per aiutarli a proteggerli”, afferma Corman. “Un taglio del 25% non farà altro che legare ulteriormente le mani [dell'America] dietro la nostra schiena. Se avremo bisogno di più azioni sui settori designati delle infrastrutture critiche – e lo facciamo – non saremo pronti”.

Dibattere sul futuro della CISA

Nonostante la necessità che la CISA continui a rafforzare la sicurezza informatica statunitense, l'agenzia si trova ad affrontare una crescente opposizione da parte di alcuni membri del Congresso, irritati dalle dichiarazioni della CISA convalidare l’integrità delle elezioni del 2020 e dagli sforzi dell’agenzia per combattere la disinformazione elettorale.

"Il coinvolgimento della CISA nel controllo di presunte informazioni errate e disinformative, nonché di malinformazione - informazioni veritiere senza contesto 'sufficiente' - costituisce una minaccia diretta e seria ai principi del Primo Emendamento", afferma un rapporto pubblicato dal sottocomitato ristretto sull’arma del governo federale, un gruppo creato dai rappresentanti repubblicani a gennaio.

La CISA ha acquisito autorità per la sicurezza elettorale come parte dei suoi compiti relativi alle infrastrutture critiche, una responsabilità ereditata dal suo predecessore, la Direzione per la protezione nazionale e i programmi, in seguito Attacchi russi alle elezioni del 2016. Tuttavia, il controllo delle false dichiarazioni sulle elezioni probabilmente non rientra tra le loro responsabilità, soprattutto se ciò minaccia le missioni operative dell'agenzia a causa della natura iperpartitica della politica odierna, afferma Corman.

“La CISA ha espresso eccessivamente uno dei suoi compiti - in particolare, la sicurezza elettorale - e hanno sottoespresso la loro attenzione alle infrastrutture critiche”, afferma. “La disinformazione sembra piuttosto lontana dalle infrastrutture critiche e, quando si tratta di contenuti di idee, bisogna starne alla larga”.

Il finanziamento è parte di un problema più grande

Il mantenimento di un budget adeguato non è l’unico ostacolo all’orizzonte per la CISA. Una delle sfide più importanti continua ad essere l’assunzione e il mantenimento dei professionisti della sicurezza informatica. Nell'agosto 2022, secondo i dati più recenti disponibili, la divisione Cybersecurity della CISA aveva una carenza di personale del 38%, un divario maggiore rispetto al deficit del 33% dell'anno precedente, secondo uno studio Rapporto del 2023 marzo dall'Ufficio dell'Ispettore Generale del DHS.

Il finanziamento sarà fondamentale per risolvere il problema e riempire il gasdotto, afferma Jensen del CSIS.

"Hanno posto rimedio al flusso di attacchi informatici, ma ora devono iniziare a prevedere dove saranno i prossimi attacchi utilizzando quell'ambiente di dati integrato, attraverso l'ambiente collaborativo congiunto, e quindi abbinandoli a una forza lavoro informatica che possa effettivamente uscire in fronte ai problemi”, dice. “Quindi più vigili del fuoco, meno vigili del fuoco”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/edge/budget-cuts-at-cisa-could-affect-enterprise-cybersecurity