CISA 预算削减可能影响企业网络安全

由柏拉图重新发布

关注： 0

美国网络安全和基础设施安全局打击有关美国选举和选举基础设施的虚假信息的努力（只是其整体使命的一小部分）可能会导致预算削减，从而影响 CISA 的两项主要职责：保卫联邦网络和帮助关键基础设施运营商抵御网络攻击。

上个月，众议院一半共和党人投票通过了将 CISA 资金削减 25% 的修正案。在美国参议院，参议员兰德·保罗（肯塔基州共和党）阻止了网络安全立法至少11次担心 CISA 及其上级美国国土安全部 (DHS) 正在审查言论自由。

CISA 疫情特别工作组前首席策略师 Josh Corman 表示，这些立法努力已经阻碍了 CISA 履行其职责，任何大幅削减都可能破坏其来之不易的进展。

“我认为削减将是相当灾难性的，”科曼说。 “我们发现 16 个关键基础设施领域的攻击密度不断增加。他们应该增加应对这些攻击的预算，而不是削减。”

CISA 已开始广泛接触私营企业、软件制造商和网络安全公司。该机构每月发布数十份建议和指导文件，例如九月警告涵盖 Snatch 勒索软件即服务操作，并维护一份列表已知被利用的漏洞这已经成为补丁优先级的一个福音。 CISA 还在与软件行业和开源社区的合作中发挥了重要作用，提高开源软件的安全性，即使发布自己的工具对于网络防御者来说。最后，该机构已致力于帮助“瞄准富有、网络贫困”的组织，如中小企业以及州和地方政府。

任何资金削减都将扭转历史两党预算增加 CISA 成立五年来。在最新一财年，国会通过了 2.9 年 2023 亿美元的预算，高于 2 年的 2020 亿美元。拜登政府要求该机构 3.1 年拨款 2024 亿美元，其中约 58% 的资金分配给网络安全部门，约 25% 的资金分配给网络安全部门。据统计，任务支持和基本服务，8%用于与州、地方和部落合作伙伴整合行动，6%用于基础设施安全 CISA 主任 Jen Easterly 的书面证词提交给众议院拨款委员会。

战略中心未来战争、游戏和战略小组高级研究员本杰明·詹森 (Benjamin Jensen) 表示，总体而言，CISA 在启动和运行项目以及成为联邦政府和关键基础设施部门的核心资源方面相当成功。和国际研究（CSIS）。

他说：“不要低估官僚机构为建立组织和调整资金以建立劳动力的努力……扩大危机应对、关键基础设施和他们运行的攻击游戏的数量。” “机构间协调是一个巨大的挑战。”

关键基础设施需要 CISA

自它的创建于2018年，CISA 必须与根深蒂固的官僚文化和网络安全劳动力市场紧张 - 阻碍其成为网络安全知识中央存储库以及联邦政府和关键基础设施运营商中央服务提供商的努力。 2022年，政府问责办公室 (GAO) 总结该机构已为其利益相关者带来了好处，但需要更加努力地改进关键基础设施保护工作及其网络安全服务。

预算削减多少会阻碍该机构在网络安全咨询、漏洞管理和开源软件安全方面的成功努力仍然不确定，但缺乏资金肯定会减慢该机构运行其项目的速度。按理说，如果 CISA 的工作受到限制，使用已知被利用漏洞 (KEV) 目录作为漏洞管理计划一部分或依赖开源工具进行企业防御的安全团队可能会受到影响。

CISA 发言人艾弗里·穆里根 (Avery Mulligan) 表示：“随着我们的国家继续面临复杂而紧迫的网络威胁，低于政府要求的资金水平将使美国人每天依赖的关键基础设施的安全面临严重风险。” “CISA 的专业知识加上我们与州、地方、部落和地区政府以及私营部门的合作伙伴关系，极大地改善了我们国家的网络安全状况。现在根本不是降低我们执行这一关键任务的能力的时候。”

目前，CISA 在联邦机构和关键基础设施部门中取得的进展显着，但并不均衡。一些部门，例如卫生与公众服务部和医疗保健部门，是“一场彻底的灾难”，说战略家科尔曼。他说，环境部门以及粮食和农业部门的网络安全资源最少。

“每年向医院支付 700 美元赎金，CISA 必须挺身而出，帮助保护医院，”Corman 说。 “削减 25% 只会进一步把（美国）的手绑在我们背后。如果我们需要对指定的关键基础设施部门采取更多行动——我们确实这样做了——我们还没有准备好。”