Dating DHS Cybersecurity Chief Points Finger at Congress

Bahagi ng pagsisisi para sa patuloy na mga problema sa cybersecurity sa gubyernong US at lampas sa kasinungalingan ng Kongreso at ang "scattershot" na diskarte nito sa pagharap sa isyu, isang dating assistant secretary para sa cybersecurity sa US Department of Homeland Security sinabi Huwebes.

Kongreso ay madalas na nagbigay ng agresibong pangangasiwa sa mga pagsisikap sa cybersecurity sa DHS at sa iba pang lugar, ngunit patuloy ang mga laban sa turf sa pagitan ng iba't ibang mga komite ng kongreso, at ang mga mambabatas ay nagpapakilala ng maraming piraso ng batas na kung minsan ay sumasalungat sa isa't isa, sabi ni Gregory Garcia, na nagsilbing katulong na kalihim para sa cybersecurity at mga komunikasyon sa DHS mula sa huli 2006 hanggang huli 2008.

Binanggit ni Garcia ang walong mga komisyon ng kongresyunal na may responsibili ty para sa isang bahagi ng patakaran sa cybersecurity, at tumawag siya sa pamumuno ng kongreso upang i-coordinate ang mga pagsisikap sa cybersecurity. Ang ilang mga komite ay nagtutulak para sa higit na responsibilidad sa cybersecurity sa labas ng DHS, habang ang iba pang mga komite ay lumalaban sa mga pagbabago, sinabi niya sa panahon ng press briefing.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]

Mga lider ng Kongreso " dalhin ang kanilang mga komite, umupo sa palibot ng talahanayan … at siguraduhin na alam ng lahat kung ano ang kanilang hurisdiksyon, ano ang kanilang pananagutan, at kung ano ang mga puwang ng patakaran, "sabi ni Garcia. "Magkaroon ng isang coordinated, driven-driven na proseso, sa halip na pahintulutan ang lahat ng mga komite na mag-alis ng freelancing sa kanilang susunod na mahusay na ideya."

Kung ang isang komite ay pinipilit para sa Kagawaran ng Hustisya ng Estados Unidos na magkaroon ng higit pang awtoridad at isang segundo ay pinipilit Ang DHS ay magkakaroon ng higit pang awtoridad, "hindi kami gumagawa ng progreso, lumalabas kami ng scattershot," dagdag ni Garcia.

Ang oras ni Garcia sa DHS ay minarkahan ng hypercriticism mula sa Kongreso ng Kongreso na kinokontrol ng Demokratiko, kasama ang pamumuno nito sa dating Republika ng Pangulong George Bush, sinabi niya. Mayroon ding mga makabuluhang problema sa pamamahala sa DHS, bahagyang dahil ang ahensiya ay anim na taong gulang lamang, sinabi ni Garcia, ngunit ang isang malaking problema ay ang mga lider ng ahensya ay sensitibo tungkol sa pagpula mula sa Kongreso, at hindi pinahihintulutan ang mas mababang antas ng mga tauhan na gumawa ng mga desisyon na mayroon sila

"Ang mga desisyon ay ginawa sa antas ng pulitika, hindi sa antas ng sibil na lingkod," sabi niya.

Ang ilan sa mga panunumpa sa kongresyon ng DHS ay tila "mapang-uyam," dagdag ni Garcia, ngayon ang presidente ng Garcia Strategies, isang grupo ng pagkonsulta.

Ang mga kinatawan ng US House of Representatives Homeland Security Committee ay hindi agad tumugon sa isang kahilingan para sa isang reaksyon sa mga komento ni Garcia. Ang komite sa House ay nag-host ng ilang mga pagdinig na nakatuon sa cybersecurity sa mga nakaraang taon.

Ang panunulat ni Garcia sa proseso ng patakaran sa cybersecurity ay dumating dalawang araw pagkatapos ng US Government Accountability Office (GAO) na nagbigay ng isang ulat na nagsasabing ang mga pederal na sistemang IT ay mananatiling mahina sa iba't ibang cyberattacks.

Ang mga pagsusuri sa seguridad ay "nakilala ang mga mahahalagang kahinaan sa mga kontrol sa seguridad sa mga pederal na sistema ng impormasyon, na nagreresulta sa malaganap na mga kahinaan," ang sabi ng ulat ng GAO. "Ang GAO ay nakilala ang mga kahinaan sa lahat ng mga pangunahing kategorya ng mga kontrol ng seguridad ng impormasyon sa mga pederal na ahensya."

Sa panahon ng 2008, napag-alaman ng mga pagsusuri ang mga kahinaan sa mga kontrol sa seguridad ng impormasyon sa 23 ng 24 na pangunahing ahensya ng U.S., sinabi ng GAO. Ang mga ahensya ay hindi patuloy na nagpapatunay sa mga gumagamit upang maiwasan ang hindi awtorisadong pag-access sa mga system; Hindi naka-encrypt ang sensitibong data; at hindi nag-log at sinusubaybayan ang mga kaganapan na may kaugnayan sa seguridad, sinabi ng GAO. Ang mga ahensya ay nabigo upang ganap na ipatupad ang mga programa sa seguridad ng impormasyon, sinabi ng ulat.

Nagtanong kung ano ang maaaring gawin ng Kongreso upang tulungan ang mga pribadong kumpanya na protektahan ang kanilang sarili, si Garcia at Alan Kessler, presidente ng vendor na proteksyon sa pag-iwas sa TippingPoint, ay nagtanong kung ang mga bagong regulasyon ay magiging produktibo.

Maraming mga malalaking kumpanya ang dapat magkaroon ng sapat na insentibo upang protektahan ang kanilang data, sinabi ni Kessler. "Hindi ako sigurado na ang mga regulasyon o pinong ay kinakailangang magpilit ng mga board of directors o senior IT executives," sabi niya. "Maaari silang mawalan ng lahat ng bagay na may isang kahinaan."

Gayunman, ang Kongreso ay maaaring lumikha ng ilang mga insentibo para sa mga medium-sized na negosyo na walang mga mapagkukunan upang maayos na maitaguyod ang cybersecurity, Idinagdag pa ni Kessler. ang mga bagong regulasyon ay magiging epektibo, ngunit nagbabala siya na maaaring sila ay darating. Ang ilang industriya ng U.S. ay hindi pa rin sapat ang cybersecurity, sabi niya. "Maaaring may isang oras kapag ang Kongreso ay makakakuha ng fed up … at magpahayag ng pagkabigo sa merkado at umayos," sinabi niya.