Tidligere DHS Cybersecurity Chief Points Finger på kongressen

Del av skylden for fortsatt cybersikkerhetsproblemer i USAs regjering og hinsides ligger med kongressen og dens "scattershot" -tilnærming til å håndtere problemet, en tidligere assisterende sekretær for cybersikkerhet ved US Department of Homeland Security, sa torsdag. har ofte gitt aggressivt tilsyn med cybersikkerhetsarbeidet på DHS og andre steder, men det er fortsatt turfkamp mellom ulike kongresskomiteer, og lovgivere introduserer flere lovverk som noen ganger er i konflikt med hverandre, sa Gregory Garcia, som fungerte som assisterende sekretær for cybersikkerhet og kommunikasjon ved DHS fra slutten av 2006 til slutten av 2008.

Garcia nevnte åtte kongresskomiteer som har ansvar ty for en del av cybersikkerhetspolitikken, og han oppfordret kongressledelse til å koordinere cybersikkerhetsarbeidet. Noen komiteer presser på for et mer ansvar for cybersikkerhet utenfor DHS, mens andre komiteer motstår endringer, sa han under en pressemelding.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Kongressledere trenger å bringe sine komiteer sammen, sitte dem rundt bordet … og sørg for at alle forstår hva som er deres jurisdiksjon, hva er deres ansvar, og hva er politikkhullene, sier Garcia. "Har en koordinert, ledelsesdrevet prosess, i stedet for å la alle disse komiteene gå frilansere med sin neste gode ide."

Hvis en komité presser på at det amerikanske justisdepartementet skal ha mer autoritet og et sekund presser på for DHS å ha større myndighet, "vi gjør ikke fremgang, vi går ut av scattershot," Garcia la til.

Garcias tid på DHS var preget av hyperkritikk fra en demokratisk kontrollert kongress av byrået, med sitt lederskap utnevnt av tidligere republikanske president George Bush, sa han. Det var også betydelige ledelsesproblemer hos DHS, delvis fordi byrået bare var seks år gammel, sa Garcia, men et stort problem var at byråledere var følsomme over kritikk fra kongressen, og ville ikke la lavere nivåpersonell gjøre de avgjørelsene de hadde kompetanse til å gjøre.

"Beslutninger ble gjort på politisk nivå, ikke på tjenestemennivå," sa han.

Noen av kongressens kritikk av DHS virket "kynisk", la Garcia, nå president for Garcia Strategies, en rådgivende gruppe.

Representanter for det amerikanske representantskapet Homeland Security Committee reagerte ikke umiddelbart på en forespørsel om en reaksjon på Garcias kommentarer. Huskomiteen har vært vert for flere høringer med fokus på cybersikkerhet de siste årene. Garcia har kritisert cybersikkerhetspolitikkprosessen to dager etter at US Government Accountability Office (GAO) ga ut en rapport som sier at føderale IT-systemer forblir sårbare overfor en rekke cyberangrep.

Sikkerhetsrevisjoner har identifisert betydelige svakheter i sikkerhetskontrollene på føderale informasjonssystemer, noe som resulterer i gjennomgripende sårbarheter, sier GAO-rapporten. "GAO har identifisert svakheter i alle hovedkategorier av informasjonssikkerhetskontroller på føderale byråer."

I løpet av 2008 har revisjonene funnet svakheter ved informasjonssikkerhetskontroll hos 23 av 24 store amerikanske byråer, sa GAO. Byråer har ikke konsekvent godkjent brukere for å forhindre uautorisert tilgang til systemer; krypterte ikke sensitive data; og logget ikke og overvåker sikkerhetsrelaterte hendelser, sa GAO. Byråer har ikke fullstendig gjennomført informasjonssikkerhetsprogrammer, sier rapporten.

Spurt hva kongressen kan gjøre for å hjelpe private bedrifter bedre å beskytte seg selv, Garcia og Alan Kessler, president for innbruddssikkerhetsleverandøren TippingPoint, spurte om nye regler ville være produktive.

Mange store selskaper bør ha nok insentiver til å beskytte sine data, sa Kessler. "Jeg er ikke sikker på at regelverk eller greit nødvendigvis skal tvinge styre eller senior IT-ledere," sa han. "De kan miste alt med en sårbarhet."

Kongressen kan imidlertid skape noen insentiver til mellomstore bedrifter som ikke har ressursene til riktig adressering av cybersikkerhet, legger Kessler til.

Garcia spurte også om Nye regler ville være effektive, men han advarte om at de måtte komme. Noen amerikanske industrier tar fortsatt ikke cybersikkerhet alvorlig nok, sa han. "Det kan være en tid da kongressen blir lei av … og vil erklære markedssvikt og regulere," sa han.