Die Bemühungen der US-Behörde für Cybersicherheit und Infrastruktursicherheit, Desinformation über US-Wahlen und Wahlinfrastruktur zu bekämpfen – ein winziger Teil ihrer Gesamtaufgabe – könnten zu Budgetkürzungen führen, die sich auf die beiden Hauptaufgaben der CISA auswirken: die Verteidigung bundesstaatlicher Netzwerke und die Unterstützung kritischer Infrastrukturbetreiber gegen Cyberangreifer.

Letzten Monat die Hälfte der Republikaner im Repräsentantenhaus stimmte für einen Änderungsantrag zur Kürzung der Mittel für CISA um 25 %. Im US-Senat hat Senator Rand Paul (R-KY) die Gesetzgebung zur Cybersicherheit blockiert mindestens 11 mal über Bedenken, dass CISA und seine Muttergesellschaft, das US-Heimatschutzministerium (DHS), die freie Meinungsäußerung zensieren.

Diese gesetzgeberischen Bemühungen hindern die CISA bereits daran, ihrer Verantwortung nachzukommen, und alle tiefgreifenden Einschnitte könnten ihre hart erkämpften Fortschritte zunichte machen, sagt Josh Corman, ehemaliger Chefstratege der COVID Task Force bei CISA.

„Ich denke, Kürzungen wären ziemlich katastrophal“, sagt Corman. „Wir sehen eine zunehmende Angriffsdichte in den 16 Sektoren der kritischen Infrastruktur. Sie sollten das Budget zur Bewältigung dieser Angriffe erhöhen und nicht kürzen.“

Zu seinen Bemühungen zählt, dass CISA umfangreiche Kontakte zur Privatwirtschaft, zu Softwareherstellern und Cybersicherheitsfirmen aufbaut. Die Agentur veröffentlicht jeden Monat Dutzende Beratungs- und Leitfäden, wie z eine Septemberwarnung deckt den Snatch-Ransomware-as-a-Service-Vorgang ab und führt eine Liste davon bekannte ausgenutzte Schwachstellen Das hat sich zu einem Segen für die Patch-Priorisierung entwickelt. CISA hat auch eine wichtige Rolle bei der Zusammenarbeit mit der Softwareindustrie und Open-Source-Communitys übernommen Verbesserung der Sicherheit von Open-Source-SoftwareSelbst Veröffentlichung eigener Tools für Cyber-Verteidiger. Endlich hat die Agentur engagiert sich dafür, Organisationen dabei zu helfen, „die Reichen und die Cyber-Armen ins Visier zu nehmen“., sowie kleine und mittelständische Unternehmen sowie Landes- und Kommunalverwaltungen.

Jede Kürzung der Mittel würde eine Geschichte von rückgängig machen parteiübergreifende Budgeterhöhungen für CISA in den fünf Jahren seines Bestehens. Für das letzte Geschäftsjahr verabschiedete der Kongress ein Budget von 2.9 Milliarden US-Dollar für 2023, gegenüber 2 Milliarden US-Dollar im Jahr 2020. Die Biden-Regierung beantragte 3.1 Milliarden US-Dollar für die Agentur für 2024 und stellte etwa 58 % der Mittel für die Abteilung Cybersicherheit bereit, etwa 25 % für Missionsunterstützung und Grunddienste, 8 % für die Integration von Operationen mit staatlichen, lokalen und Stammespartnern und 6 % für die Infrastruktursicherheit schriftliche Aussage von CISA-Direktorin Jen Easterly an den Haushaltsausschuss des Repräsentantenhauses.

Insgesamt war CISA ziemlich erfolgreich darin, Programme auf den Weg zu bringen und zu einer zentralen Ressource für die Bundesregierung und kritische Infrastruktursektoren zu werden, sagt Benjamin Jensen, Senior Fellow der Gruppe „Future War, Gaming, and Strategy“ am Center for Strategic und Internationale Studien (CSIS).

„Unterschätzen Sie nicht einmal den bürokratischen Aufwand für den Aufbau der Organisation und die Ausrichtung der Finanzierung auf den Aufbau der Belegschaft, um … die Anzahl der von ihnen durchgeführten Krisenreaktionen, kritischen Infrastrukturen und Angriffsspiele zu erhöhen“, sagt er. „Die behördenübergreifende Koordinierung war eine gewaltige Herausforderung.“

Kritische Infrastruktur braucht CISA

Da seine Gründung im Jahr 2018, CISA musste sowohl gegen fest verwurzelte bürokratische Kulturen kämpfen als auch ein angespannter Arbeitsmarkt für Cybersicherheit - Kräfte, die seine Bemühungen, ein zentraler Speicher für Cybersicherheitswissen und ein zentraler Dienstleister sowohl für die Bundesregierung als auch für Betreiber kritischer Infrastrukturen zu werden, behindert haben. Im Jahr 2022 Das Government Accountability Office (GAO) kam zu dem Schluss dass die Agentur ihren Stakeholdern Vorteile gebracht habe, aber stärker auf die Verbesserung der Bemühungen zum Schutz kritischer Infrastrukturen und ihrer Cybersicherheitsdienste hinarbeiten müsse.

Inwieweit Budgetkürzungen die erfolgreichen Bemühungen der Agentur in den Bereichen Cybersicherheitsberatung, Schwachstellenmanagement und Open-Source-Softwaresicherheit behindern würden, bleibt ungewiss, aber ein Mangel an Mitteln würde die Agentur bei der Durchführung ihrer Programme sicherlich verlangsamen. Es liegt auf der Hand, dass Sicherheitsteams, die den Katalog „Known Exploited Vulnerabilities“ (KEV) als Teil ihrer Schwachstellenmanagementprogramme verwenden oder sich auf Open-Source-Tools für die Unternehmensverteidigung verlassen, möglicherweise beeinträchtigt werden könnten, wenn die Arbeit von CISA gedrosselt würde.

„Da unser Land weiterhin mit komplexen und dringenden Cyberbedrohungen konfrontiert ist, würde eine Finanzierung, die unter den von der Regierung beantragten Beträgen liegt, die Sicherheit der kritischen Infrastruktur, auf die die Amerikaner jeden Tag angewiesen sind, ernsthaft gefährden“, sagt CISA-Sprecher Avery Mulligan. „Das Fachwissen von CISA hat in Kombination mit unseren Partnerschaften mit staatlichen, lokalen, Stammes- und Territorialregierungen sowie dem privaten Sektor die Cybersicherheitslage unseres Landes erheblich verbessert. Jetzt ist einfach nicht der richtige Zeitpunkt, unsere Fähigkeit zur Erfüllung dieser wichtigen Mission einzuschränken.“

Derzeit sind die Fortschritte von CISA bei Bundesbehörden und kritischen Infrastruktursektoren erheblich, aber uneinheitlich. Einige Sektoren, wie das Ministerium für Gesundheit und menschliche Dienste und der Gesundheitssektor, seien „eine absolute Katastrophe“, heißt es Stratege Corman. Der Umweltsektor sowie der Lebensmittel- und Landwirtschaftssektor verfügten nur über minimale Cybersicherheitsressourcen, sagt er.

„Angesichts der 700 Lösegelder pro Jahr für Krankenhäuser muss sich CISA verstärken, um sie zu schützen“, sagt Corman. „Eine Kürzung um 25 % wird [Amerikas] Hände nur noch mehr hinter unserem Rücken fesseln. Wenn wir mehr Maßnahmen in den ausgewiesenen kritischen Infrastruktursektoren benötigen – und das tun wir –, werden wir nicht bereit sein.“

Debatte über die Zukunft von CISA

Obwohl die CISA die Cybersicherheit in den USA weiter stärken muss, stößt die Agentur auf wachsenden Widerstand einiger Kongressabgeordneter, die über die Aussagen der CISA verärgert sind Bestätigung der Integrität der Wahl 2020 und durch die Bemühungen der Agentur, Wahldesinformation zu bekämpfen.

„Die Beteiligung von CISA an der Überwachung mutmaßlicher Fehl- und Desinformationen sowie Malinformationen – wahrheitsgemäße Informationen ohne ‚ausreichenden‘ Kontext – stellt eine direkte und ernsthafte Bedrohung der Grundsätze des Ersten Verfassungszusatzes dar.“ heißt es in einem Bericht veröffentlicht vom Select Subcommittee on the Weaponization of the Federal Government, einer im Januar von republikanischen Vertretern gegründeten Gruppe.

Die CISA erhielt im Rahmen ihrer kritischen Infrastrukturaufgaben die Befugnis für die Wahlsicherheit, eine Verantwortung, die sie von ihrem Vorgänger, dem National Protection and Programs Directorate, übernommen hatte Russische Angriffe auf die Wahl 2016. Die polizeiliche Überwachung falscher Aussagen über Wahlen gehöre jedoch wohl nicht zu ihren Aufgaben, insbesondere wenn dadurch die operativen Aufgaben der Agentur aufgrund des überparteilichen Charakters der heutigen Politik gefährdet würden, sagt Corman.

„CISA hat eine seiner Aufgaben übertrieben ausgedrückt - insbesondere Wahlsicherheit - und haben ihren Fokus auf kritische Infrastrukturen zu wenig zum Ausdruck gebracht“, sagt er. „Fehlinformationen scheinen ziemlich weit von kritischer Infrastruktur entfernt zu sein, und wenn es um Ideeninhalte geht, sollten Sie sich davon fernhalten.“

Die Finanzierung ist Teil eines größeren Problems

Die Aufrechterhaltung eines angemessenen Budgets ist nicht die einzige Hürde für CISA. Eine große Herausforderung bleibt weiterhin die Einstellung und Bindung von Cybersicherheitsexperten. Im August 2022, den neuesten verfügbaren Daten zufolge, war die Cybersicherheitsabteilung von CISA laut a um 38 % unterbesetzt, eine größere Lücke als der Mangel von 33 % im Jahr zuvor Bericht vom 2023. März vom Büro des Generalinspektors beim DHS.

Die Finanzierung wird entscheidend sein, um dieses Problem zu lösen und die Pipeline zu füllen, sagt Jensen von CSIS.

„Sie haben die Flut von Cyberangriffen bekämpft, aber jetzt müssen sie vorhersehen, wo die nächsten Angriffe sein werden, indem sie diese integrierte Datenumgebung und die gemeinsame kollaborative Umgebung nutzen und diese dann einer Cyber-Belegschaft zuordnen, die tatsächlich eingreifen kann.“ vor Problemen“, sagt er. „Also mehr Feuerwehrleute, weniger Feuerwehrleute.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/edge/budget-cuts-at-cisa-could-affect-enterprise-cybersecurity