Tidligere DHS Cybersecurity Chief Points Finger på Kongressen

En del af skylden for fortsatte cybersikkerhedsproblemer i den amerikanske regering og hinsides ligger hos kongressen og dens "scattershot" -tilgang til at håndtere problemet, en tidligere assisterende sekretær for cybersikkerhed ved det amerikanske afdeling for homeland sikkerhed sagde torsdag. har ofte givet aggressivt tilsyn med cybersikkerhedsindsatsen på DHS og andre steder, men der er fortsat turfkampe mellem forskellige kongreskomiteer, og lovgivere indfører flere stykker lovgivninger, som nogle gange er i konflikt med hinanden, sagde Gregory Garcia, der fungerede som assisterende sekretær for cybersikkerhed og kommunikation fra DHS fra slutningen af ​​2006 til slutningen af ​​2008.

Garcia nævnte otte kongresudvalg, der har ansvar ty for en del af cybersikkerhedspolitikken, og han opfordrede kongresledelse til at koordinere cybersikkerhedsindsatsen. Nogle udvalg presser på for mere cybersikkerhedsansvar uden for DHS, mens andre udvalg modsætter sig ændringer, sagde han under en pressemeddelelse.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Kongressens ledere har brug for at bringe deres udvalg sammen, sæt dem omkring bordet … og sørg for, at alle forstår hvad deres jurisdiktion er, hvad er deres ansvar, og hvad er politikens huller, "sagde Garcia. "Har en koordineret, ledelsesdrevet proces, snarere end at lade alle disse udvalg gå ud med at freelancere med deres næste store idé."

Hvis et udvalg presser på, at det amerikanske justitsministerium har mere autoritet, og et andet presser på for DHS har mere autoritet, "vi gør ikke fremskridt, vi går ud af scattershot," Garcia tilføjede.

Garcias tid på DHS var præget af hyperkritik fra en demokratisk kontrolleret kongres af agenturet med dets ledelsesudnævnelse af tidligere republikanske præsident George Bush, sagde han. Der var også betydelige ledelsesproblemer hos DHS, dels fordi agenturet kun er seks år, sagde Garcia, men et stort problem var, at agenturets ledere var følsomme over kritik fra kongressen og ikke ville lade de lavere medarbejdere tage de beslutninger, de havde ekspertise til at gøre.

"Beslutninger blev truffet på politisk plan, ikke på embedsmandsplan," sagde han.

Nogle af kongressens kritik af DHS syntes "kynisk", tilføjede Garcia, nu præsident for Garcia Strategies, en rådgivningsgruppe.

Repræsentanter for Det amerikanske Repræsentanternes Hus for Homeland Security Committee reagerede ikke straks på en anmodning om en reaktion på Garcias kommentarer. Huskomiteen har været vært for adskillige høringer med fokus på cybersikkerhed i de seneste år.

Garcias kritik af cybersikkerhedspolitikken kom to dage efter, at US Government Accountability Office (GAO) udstedte en rapport, der siger, at føderale it-systemer forbliver sårbare over for en række cyberangreb.

Sikkerhedsrevisioner har "identificeret betydelige svagheder i sikkerhedskontrollen på føderale informationssystemer, hvilket resulterer i omfattende svagheder," siger GAO-rapporten. "GAO har identificeret svagheder i alle større kategorier af informationssikkerhedskontrol hos føderale agenturer."

I 2008 konstaterede GAOs svagheder ved informationssikkerhedskontrol hos 23 af de 24 amerikanske bureauer. Agenturer godkendte ikke konsekvent brugere for at forhindre uautoriseret adgang til systemer; krypterede ikke følsomme data og loggede ikke og overvåger sikkerhedsrelaterede hændelser, sagde GAO. Agenturer har undladt at gennemføre informationssikkerhedsprogrammer fuldt ud, siger rapporten.

Spurgt hvad kongressen kan gøre for at hjælpe private virksomheder med at beskytte sig bedre, Garcia og Alan Kessler, præsident for indbrudssikkerhedsleverandøren TippingPoint, stillede spørgsmålstegn ved, om nye regler ville være produktive.

Mange store virksomheder bør have tilstrækkelige incitamenter til at beskytte deres data, sagde Kessler. "Jeg er ikke sikker på, at forordninger eller bøder nødvendigvis vil tvinge bestyrelse eller ledende it-ledere," sagde han. "De kan miste alt med en sårbarhed." Men kongressen kan muligvis skabe nogle incitamenter til mellemstore virksomheder, der ikke har ressourcer til at adressere cybersikkerheden korrekt, tilføjede Kessler. nye regler ville være effektive, men han advarede om, at de måtte komme. Nogle amerikanske industrier tager stadig ikke cybersikkerhed alvorligt nok, sagde han. "Der kan være en tid, hvor kongressen bliver træt … og vil erklære markedssvigt og regulere," sagde han.