Były szef cyberbezpieczeństwa DHS Palec na kongresie

Część winy za ciągłe problemy z cyberbezpieczeństwem w amerykańskim rządzie i poza nim spoczywa na Kongresie i jego "scattershot" podejściu do rozwiązania problemu, były sekretarz ds. Bezpieczeństwa cybernetycznego w Departamencie Bezpieczeństwa Wewnętrznego USA powiedział w czwartek.

Kongres często zapewniał agresywny nadzór nad działaniami cyberbezpieczeństwa w DHS i innych miejscach, ale nadal trwają turfy między różnymi komitetami Kongresu, a ustawodawcy wprowadzają wiele aktów prawnych, które czasami są ze sobą w konflikcie, powiedział Gregory Garcia, który służył jako asystent sekretarza ds. cyberbezpieczeństwa i komunikowanie się w DHS od końca 2006 r. do końca 2008 r.

Garcia wspomniał o ośmiu komitetach Kongresu, które mają dla części polityki bezpieczeństwa cybernetycznego, i wezwał przywódców Kongresu do koordynacji wysiłków cyberbezpieczeństwa. Niektóre komitety naciskają na większą odpowiedzialność za cyberbezpieczeństwo poza DHS, podczas gdy inne komitety sprzeciwiają się zmianom, powiedział podczas briefingu prasowego.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Przywódcy Kongresu "muszą sprowadź ich komitety, zasiadają przy stole … i upewnij się, że wszyscy rozumieją, jaka jest ich jurysdykcja, jaka jest ich odpowiedzialność i jakie są luki w polityce, "powiedział Garcia. "Zorganizuj skoordynowany, oparty na przywództwie proces, zamiast pozwolić, aby wszystkie te komitety odeszły od freelancingu z kolejnym świetnym pomysłem."

Jeśli jedna komisja naciska na Departament Sprawiedliwości Stanów Zjednoczonych, aby zyskał więcej władzy, a drugi naciska na DHS ma więcej władzy, "nie robimy postępów, rozpoczynamy pracę", dodał Garcia.

Czas Garcii na DHS był naznaczony przez hiperkryptyzm ze strony Kongresu agencji kontrolowanego przez Demokratów, z przywództwem wyznaczonym przez byłego prezydenta republikańskiego George'a Busha, powiedział. Istniały również poważne problemy z zarządzaniem w DHS, częściowo dlatego, że agencja ma zaledwie sześć lat, powiedział Garcia, ale dużym problemem było to, że przywódcy agencji byli wrażliwi na krytykę ze strony Kongresu i nie pozwalali pracownikom niższego szczebla podejmować decyzji, które mieli Wiedza specjalistyczna.

"Decyzje zostały podjęte na szczeblu politycznym, a nie na szczeblu urzędników państwowych", powiedział.

Niektóre z krytyki Kongresu DHS wydawały się "cyniczne", dodał Garcia, obecnie prezydent Garcia Strategies, grupa konsultacyjna.

Przedstawiciele Amerykańskiej Izby Reprezentantów Komitetu Bezpieczeństwa Wewnętrznego nie odpowiedzieli natychmiast na prośbę o reakcję na komentarze Garcia. W ostatnich latach komitet House był gospodarzem kilku przesłuchań poświęconych cyberbezpieczeństwu.

Krytyka Garcia w procesie polityki bezpieczeństwa cybernetycznego pojawiła się dwa dni po tym, jak rządowy Urząd Odpowiedzialności Rządowej (GAO) opublikował raport stwierdzający, że federalne systemy IT pozostają podatne na różne cyberataki.

Audyty bezpieczeństwa "zidentyfikowały znaczące słabości w kontroli bezpieczeństwa w federalnych systemach informatycznych, powodując wszechobecne luki w zabezpieczeniach," raport GAO powiedział. "GAO zidentyfikował uchybienia we wszystkich głównych kategoriach kontroli bezpieczeństwa informacji w agencjach federalnych."

W 2008 r. Audyty wykryły słabe strony kontroli bezpieczeństwa informacji w 23 z 24 największych amerykańskich agencji, podało GAO. Agencje nie konsekwentnie uwierzytelniały użytkowników, aby zapobiegać nieautoryzowanemu dostępowi do systemów; nie szyfruje poufnych danych; i nie rejestrował i nie monitorował zdarzeń istotnych dla bezpieczeństwa, powiedział GAO. Agencje nie zdołały w pełni wdrożyć programów bezpieczeństwa informacji, podał raport.

Na pytanie, co Kongres może zrobić, aby pomóc firmom prywatnym lepiej chronić się, Garcia i Alan Kessler, prezes firmy TippingPoint, zajmujący się ochroną przed włamaniami, zapytali, czy nowe regulacje będą produktywne.

Wiele dużych firm powinno mieć wystarczającą motywację do ochrony swoich danych, powiedział Kessler. "Nie jestem pewien, czy przepisy czy grzywna będą koniecznie zmuszać zarządów lub kierowników wyższego szczebla IT" - powiedział. "Mogą stracić wszystko dzięki jednej słabości."

Kongres może jednak stworzyć zachęty dla średnich firm, które nie mają odpowiednich zasobów, aby odpowiednio zająć się bezpieczeństwem cybernetycznym, dodał Kessler.

Garcia również zapytał czy nowe przepisy byłyby skuteczne, ale ostrzegł, że mogą nadejść. Niektóre amerykańskie branże wciąż nie traktują cyberbezpieczeństwa wystarczająco poważnie, powiedział. "Może być czas, kiedy Kongres będzie miał dość … i ogłosi bankructwo rynku i ureguluje" - powiedział.