קיצוצים בתקציב ב-CISA עלולים להשפיע על אבטחת סייבר ארגונית

קיצוצים בתקציב ב-CISA עלולים להשפיע על אבטחת סייבר ארגונית

חותמת זמן: 30 באוקטובר 2023 3:23
צומת המקור: 2963088

המאמצים של הסוכנות האמריקאית לאבטחת סייבר ותשתיות להילחם בדיסאינפורמציה על בחירות בארה"ב ותשתיות בחירות - חלק זעיר מהמשימה הכוללת שלה - עלולים להוביל לקיצוץ תקציבי שמשפיע על שתי האחריות העיקריות של CISA: הגנה על רשתות פדרליות וסיוע למפעילי תשתית קריטיים מפני תוקפי סייבר.

בחודש שעבר, מחצית מהרפובליקנים בבית הנבחרים הצביע בעד תיקון לקיצוץ המימון ל-CISA ב-25%. בסנאט האמריקני, הסנאטור רנד פול (R-KY) חסם את חקיקת אבטחת הסייבר לפחות 11 פעמים בגלל החששות ש-CISA וההורה שלה, המשרד לביטחון המולדת האמריקאי (DHS), מצנזרים את חופש הביטוי.

מאמצי החקיקה האלה כבר מונעים מ-CISA לטפל באחריות שלה, וכל קיצוץ עמוק עלול לשבש את ההתקדמות שלה, אומר ג'וש קורמן, אסטרטג ראשי לשעבר של כוח המשימה COVID ב-CISA.

"אני חושב שקיצוצים יהיו די קטסטרופליים", אומר קורמן. "אנו רואים את צפיפות ההתקפות הגוברת ב-16 מגזרי התשתית הקריטיים. הם צריכים להגדיל את התקציב כדי להתמודד עם ההתקפות האלה, לא לקצץ".

בין המאמצים שלה, CISA החלה בטיפול נרחב לתעשייה הפרטית, יצרניות תוכנה וחברות אבטחת סייבר. הסוכנות משחררת מדי חודש עשרות מסמכי ייעוץ והנחיות כגון אזהרת ספטמבר מכסה את פעולת Snatch ransomware-as-a-service, ומנהלת רשימה של פגיעויות מנוצלות ידועות שהפך לברכה עבור תעדוף תיקון. CISA גם לקחה תפקיד מרכזי בשותפות עם תעשיית התוכנה וקהילות קוד פתוח לשפר את האבטחה של תוכנת קוד פתוח, גם משחררת כלים משלה עבור מגיני סייבר. לבסוף, יש לסוכנות מחויב לעזור לארגונים "למקד עשירים ועניים ברשת"., כמו עסקים קטנים ובינוניים וממשלות ממלכתיות ומקומיות.

כל קיצוץ מימון יהפוך היסטוריה של הגדלת תקציב דו-מפלגתית עבור CISA במשך חמש שנות קיומה. לשנת הכספים האחרונה, הקונגרס העביר תקציב של 2.9 מיליארד דולר לשנת 2023, לעומת 2 מיליארד דולר בשנת 2020. ממשל ביידן ביקש 3.1 מיליארד דולר עבור הסוכנות לשנת 2024, והקצה כ-58% מהכספים לחטיבת אבטחת הסייבר, כ-25% עבור הסוכנות. תמיכה במשימות ושירותים בסיסיים, 8% לשילוב פעולות עם שותפים ממלכתיים, מקומיים ושבטים, ו-6% לאבטחת תשתית, לפי עדות כתובה מאת מנהלת CISA, ג'ן איסטרלי לוועדת ההקצאות של הבית.

בסך הכל, CISA הצליחה למדי בהפעלת תוכניות ובהפיכתה למשאב מרכזי עבור הממשל הפדרלי ותשתיות קריטיות, אומר בנג'מין ג'נסן, עמית בכיר בקבוצת המלחמה, המשחקים והאסטרטגיה העתידית במרכז לאסטרטגיה. ולימודים בינלאומיים (CSIS).

"אל תזלזל אפילו רק במאמץ הבירוקרטי להקים את הארגון ולהתאים את המימון לבניית כוח העבודה כדי... להגדיל את מספר התגובה למשבר, תשתיות קריטיות ומשחקי תקיפה שהם מנהלים", הוא אומר. "התיאום הבין-משרדי היה אתגר מונומנטלי."

תשתית קריטית זקוקה ל-CISA

השאלה היא איך? יצירתו בשנת 2018, CISA נאלצה להילחם הן בתרבויות ביורוקרטיות מושרשות והן שוק עבודה הדוק של אבטחת סייבר - כוחות שהפריעו למאמץ שלה להפוך למאגר מרכזי של ידע בנושא אבטחת סייבר ולספק שירותים מרכזי הן עבור הממשל הפדרלי והן עבור מפעילי תשתית קריטית. בשנת 2022, סיכם משרד האחריות הממשלתית (GAO). שהסוכנות סיפקה הטבות לבעלי העניין שלה, אך הייתה צריכה לפעול יותר למען שיפור מאמצי ההגנה על תשתיות קריטיות ושירותי אבטחת הסייבר שלה.

עד כמה קיצוץ בתקציב יעכב את המאמצים המוצלחים של הסוכנות עם ייעוץ אבטחת סייבר, ניהול פגיעות ואבטחת תוכנה בקוד פתוח עדיין לא ברור, אבל מחסור בכספים בהחלט יאט את הסוכנות בהפעלת התוכניות שלה. הגיוני שצוותי אבטחה המשתמשים בקטלוג Known Exploited Vulnerabilities (KEV) כחלק מתכניות ניהול הפגיעות שלהם או בהסתמכות על כלי הקוד הפתוח להגנה ארגונית עלולים להיות מושפעים אם העבודה של CISA תוחמצם.

"כאשר האומה שלנו ממשיכה להתמודד עם איומי סייבר מורכבים ודחופים, מימון ברמות הנמוכות מהסכומים שהממשל ביקש יעמיד את הבטיחות והאבטחה של התשתית הקריטית עליה מסתמכים האמריקאים מדי יום בסיכון רציני", אומר דובר CISA, אייברי מאליגן. "המומחיות של CISA, בשילוב עם השותפויות שלנו עם ממשלות מדינתיות, מקומיות, שבטיות וטריטוריאליות, כמו גם המגזר הפרטי, שיפרו מאוד את עמדת אבטחת הסייבר של המדינה שלנו. זה פשוט לא הזמן לצמצם את היכולת שלנו לבצע את המשימה הקריטית הזו".

נכון לעכשיו, ההתקדמות של CISA בקרב סוכנויות פדרליות ומגזרי תשתית קריטיים היא משמעותית אך לא אחידה. חלק מהמגזרים, כמו משרד הבריאות ושירותי האנוש ומגזר הבריאות, הם "אסון בלתי מבוטל", אומר אסטרטג קורמן. למגזר הסביבתי ולמגזרי המזון והחקלאות היו משאבי אבטחת סייבר מינימליים, הוא אומר.

"עם 700 כופר בשנה לבתי חולים, CISA תצטרך להגביר כדי לעזור להגן עליהם", אומר קורמן. "קיצוץ של 25% רק יקשור את הידיים [של אמריקה] מאחורי הגב שלנו. אם נזדקק לפעולה נוספת במגזרי התשתית הקריטיים המיועדים - ואנחנו כן - לא נהיה מוכנים".

דיון על העתיד של CISA

למרות הצורך של CISA להמשיך ולחזק את אבטחת הסייבר בארה"ב, הסוכנות מתמודדת עם התנגדות גוברת של כמה מחברי הקונגרס, זועמים מהצהרות CISA מתן תוקף לתקינות בחירות 2020 ועל ידי מאמצי הסוכנות להילחם בדיסאינפורמציה בבחירות.

"המעורבות של CISA בשיטור לכאורה שגוי ודיסאינפורמציה, כמו גם מידע שגוי - מידע אמיתי ללא הקשר 'מספיק' - מהווה איום ישיר וחמור על עקרונות התיקון הראשון." קובע דו"ח שוחררה על ידי ועדת המשנה הנבחרת לנשק הממשל הפדרלי, קבוצה שנוצרה על ידי נציגים רפובליקנים בינואר.

CISA קיבלה סמכות לאבטחת בחירות כחלק ממטלות התשתית הקריטיות שלה, אחריות שהורשתה מקודמתה, המנהלת הלאומית להגנה ותוכניות, בעקבות התקפות רוסיות על הבחירות ב-2016. עם זאת, שיטור הצהרות שווא על בחירות אינו נכלל באחריותם, במיוחד אם הוא מאיים על המשימות המבצעיות של הסוכנות בשל האופי ההיפר-מפלגתי של הפוליטיקה של היום, אומר קורמן.

"CISA ביטאה יתר על המידה את אחת מתפקידיה - במיוחד, אבטחת בחירות - ולא הביעו את ההתמקדות שלהם בתשתיות קריטיות", הוא אומר. "מידע מוטעה נראה די רחוק מתשתית קריטית, וכשזה מגיע לתוכן רעיון, התרחק מזה."

מימון הוא חלק מבעיה גדולה יותר

שמירה על תקציב הולם אינה המכשול היחיד באופק עבור CISA. אתגר מרכזי ממשיך להיות גיוס ושימור של אנשי מקצוע בתחום אבטחת הסייבר. באוגוסט 2022, הנתונים העדכניים ביותר הזמינים, חטיבת אבטחת הסייבר של CISA הייתה חסרת כוח אדם ב-38%, פער גדול יותר מהמחסור של 33% שנה קודם לכן, לפי דו"ח 2023 במרץ על ידי משרד המפקח הכללי ב-DHS.

המימון יהיה קריטי לפתרון הבעיה ולמילוי הצינור הזה, אומר Jensen מ-CSIS.

"הם תיקנו את מבול התקפות הסייבר, אבל עכשיו הם צריכים להתחיל לחזות היכן יהיו אלה הבאות באמצעות שימוש בסביבת הנתונים המשולבת הזו, דרך הסביבה השיתופית המשותפת, ולאחר מכן להתאים את אלה לכוח עובדי סייבר שיכול באמת לצאת החוצה מול בעיות", הוא אומר. "אז יותר לוחמי אש, פחות כבאים."

בול זמן:

עוד מ קריאה אפלה