Budgetnedskärningar hos CISA kan påverka företagens cybersäkerhet

Budgetnedskärningar hos CISA kan påverka företagens cybersäkerhet

Tidsstämpel: 30 oktober 2023 3:23
Källnod: 2963088

US Cybersecurity and Infrastructure Security Agencys ansträngningar att bekämpa desinformation om amerikanska val och valinfrastruktur – en liten del av dess övergripande uppdrag – kan leda till budgetnedskärningar som påverkar CISA:s två huvudsakliga ansvarsområden: att försvara federala nätverk och hjälpa kritiska infrastrukturoperatörer mot cyberattackare.

Förra månaden, hälften av husrepublikanerna röstade för ett ändringsförslag för att minska finansieringen till CISA med 25 %. I den amerikanska senaten har senator Rand Paul (R-KY) blockerat cybersäkerhetslagstiftningen åtminstone 11 gånger över oro för att CISA och dess förälder, USA:s Department of Homeland Security (DHS), censurerar yttrandefriheten.

Dessa lagstiftande ansträngningar hindrar redan CISA från att ta hand om sitt ansvar, och alla djupa nedskärningar kan störa dess svårvunna framsteg, säger Josh Corman, tidigare chefsstrateg för COVID Task Force på CISA.

"Jag tror att nedskärningar skulle vara ganska katastrofala," säger Corman. "Vi ser en ökande attacktäthet över de 16 kritiska infrastruktursektorerna. De borde öka budgeten för att hantera dessa attacker, inte skära ner."

Bland sina ansträngningar har CISA inlett en omfattande uppsökande verksamhet till privat industri, mjukvarutillverkare och cybersäkerhetsföretag. Byrån släpper dussintals råd och vägledningsdokument varje månad, som t.ex en septembervarning täcker operationen Snatch ransomware-as-a-service, och upprätthåller en lista över kända exploaterade sårbarheter som har blivit en välsignelse för patchprioritering. CISA har också tagit en viktig roll i samarbetet med mjukvaruindustrin och öppen källkod för att förbättra säkerheten för programvara med öppen källkod, Även släpper sina egna verktyg för cyberförsvarare. Äntligen har byrån engagerad i att hjälpa "inrikta sig på rika, cyberfattiga" organisationer, Såsom små och medelstora företag och statliga och lokala myndigheter.

Eventuella finansieringsnedskärningar skulle vända en historia av tvådelade budgetökningar för CISA under de fem åren dess existens. För det senaste räkenskapsåret antog kongressen en budget på 2.9 miljarder USD för 2023, upp från 2 miljarder USD 2020. Biden-administrationen begärde 3.1 miljarder USD för byrån för 2024, och anslår cirka 58 % av medlen till Cybersecurity Division, cirka 25 % för uppdragsstöd och grundläggande tjänster, 8 % för att integrera verksamhet med statliga, lokala och stampartners, och 6 % för infrastruktursäkerhet, enligt skriftligt vittnesmål av CISA-chefen Jen Easterly till kammarens anslagsutskott.

Sammantaget har CISA varit ganska framgångsrika när det gäller att få igång program och bli en central resurs för den federala regeringen och sektorerna för kritisk infrastruktur, säger Benjamin Jensen, senior fellow med gruppen Future War, Gaming and Strategy vid Center for Strategic och internationella studier (CSIS).

"Underskatta inte ens bara den byråkratiska ansträngningen att sätta upp organisationen och anpassa finansieringen för att bygga upp arbetsstyrkan för att ... skala upp antalet krishantering, kritisk infrastruktur och attackspel de kör", säger han. "Samordningen mellan myndigheter har varit en monumental utmaning."

Kritisk infrastruktur behöver CISA

Eftersom dess tillkomst 2018, CISA har varit tvungen att kämpa mot både förankrade byråkratiska kulturer och en stram cybersäkerhetsarbetsmarknad - krafter som har hindrat dess ansträngningar att bli ett centralt arkiv för kunskap om cybersäkerhet och en central tjänsteleverantör för både den federala regeringen och operatörer av kritisk infrastruktur. År 2022, avslutade Government Accountability Office (GAO). att byrån hade gett fördelar till sina intressenter men behövde arbeta mer för att förbättra insatserna för skydd av kritisk infrastruktur och dess cybersäkerhetstjänster.

Hur mycket budgetnedskärningar som skulle hämma byråns framgångsrika ansträngningar med cybersäkerhetsrådgivning, sårbarhetshantering och mjukvarusäkerhet med öppen källkod är fortfarande osäkert, men brist på medel skulle säkert bromsa byrån i att köra sina program. Det är naturligt att säkerhetsteam som använder katalogen Known Exploited Vulnerabilities (KEV) som en del av sina sårbarhetshanteringsprogram eller förlitar sig på verktygen med öppen källkod för företagsförsvar potentiellt kan påverkas om CISA:s arbete stryps.

"När vår nation fortsätter att möta komplexa och brådskande cyberhot, kommer finansiering på nivåer under de belopp som administrationen har begärt att sätta säkerheten och säkerheten för den kritiska infrastrukturen som amerikaner förlitar sig på varje dag i allvarlig risk", säger CISA-talespersonen Avery Mulligan. "CISAs expertis, i kombination med våra partnerskap med statliga, lokala, stam- och territoriella regeringar, såväl som den privata sektorn, har avsevärt förbättrat vår nations cybersäkerhetsställning. Nu är det helt enkelt inte rätt tid att minska vår förmåga att utföra detta kritiska uppdrag.”

Just nu är CISA:s framsteg bland federala myndigheter och kritiska infrastruktursektorer betydande men ojämna. Vissa sektorer, som Department of Health and Human Services och hälsovårdssektorn, är "en oförmögen katastrof", säger strateg Corman. Miljösektorn och livsmedels- och jordbrukssektorerna hade minimala cybersäkerhetsresurser, säger han.

"Med 700 lösensummor per år för sjukhus, kommer CISA att behöva öka för att skydda dem," säger Corman. "En 25% nedskärning kommer bara att ytterligare binda [Amerikas] händer bakom vår rygg. Om vi ​​behöver mer åtgärder på de utsedda kritiska infrastruktursektorerna – och det gör vi – kommer vi inte att vara redo.”

Debatterar CISAs framtid

Trots behovet av att CISA fortsätter att stärka USA:s cybersäkerhet, möter byrån växande motstånd från vissa kongressmedlemmar, arga över CISA:s uttalanden validering av integriteten för valet 2020 och av byråns ansträngningar att bekämpa valdesinformation.

"CISA:s inblandning i att bevaka påstådd felaktig och desinformation, såväl som felaktig information - sanningsenlig information utan "tillräckligt" sammanhang - är ett direkt och allvarligt hot mot principerna i First Amendment. uppger en rapport släppt av Select Subcommittee on the Weaponization of the Federal Government, en grupp skapad av republikanska representanter i januari.

CISA fick auktoritet för valsäkerhet som en del av sina kritiska infrastrukturuppgifter, ett ansvar som ärvt från dess föregångare, National Protection and Programs Directorate, efter Ryska attacker mot valet 2016. Att bevaka falska uttalanden om val är dock utan tvekan inte bland deras ansvarsområden, särskilt om det hotar myndighetens operativa uppdrag på grund av dagens politiks hyperpartiska natur, säger Corman.

"CISA uttryckte överdrivet ett av sina jobb - särskilt valsäkerhet - och underuttryckt sitt fokus på kritisk infrastruktur”, säger han. "Desinformation verkar ganska långt borta från kritisk infrastruktur, och när det kommer till idéinnehåll, håll dig borta från det."

Finansiering är en del av ett större problem

Att upprätthålla en tillräcklig budget är inte det enda hindret i horisonten för CISA. En stor utmaning fortsätter att vara att anställa och behålla cybersäkerhetsproffs. I augusti 2022, de senaste tillgängliga uppgifterna, var CISA:s Cybersecurity Division underbemannad med 38 %, ett större gap än 33 % underskott ett år tidigare, enligt en 2023 mars rapport av generalinspektörens kontor vid DHS.

Finansiering kommer att vara avgörande för att lösa det problemet och fylla den pipeline, säger CSIS:s Jensen.

"De har åtgärdat floden av cyberattacker, men de måste nu börja förutse var de nästa kommer att vara genom att använda den integrerade datamiljön, genom den gemensamma samarbetsmiljön, och sedan matcha dem med en cyberarbetskraft som faktiskt kan ta sig ut i framför problem, säger han. "Så fler brandvakter, färre brandmän."

Tidsstämpel:

Mer från Mörk läsning