Бывшие DHS Кибербезопасность Главные пункты Finger at Congress

Часть вины за продолжающиеся проблемы кибербезопасности в правительстве США и за ее пределами лежит на Конгрессе и его «опрометчивом» подходе к решению этой проблемы, заявил в четверг бывший помощник секретаря по кибербезопасности в Департаменте внутренней безопасности США.

Конгресс часто проявлял агрессивный контроль за усилиями по кибербезопасности в DHS и в других местах, но продолжаются торфяные битвы между различными комитетами Конгресса, а законодатели вводят несколько законодательных актов, которые иногда конфликтуют друг с другом, сказал Грегори Гарсия, который занимал пост помощника секретаря по кибербезопасности и сообщения в DHS с конца 2006 года по конец 2008 года.

Гарсия упомянул восемь комитетов Конгресса, которые отвечают для части политики кибербезопасности, и он призвал руководство Конгресса координировать усилия по кибербезопасности. Некоторые комитеты настаивают на большей ответственности за кибербезопасность за пределами DHS, в то время как другие комитеты сопротивляются изменениям, сказал он во время брифинга для прессы.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Лидеры Конгресса должны объединяйте их комитеты, садитесь за стол … и убедитесь, что все понимают, какова их юрисдикция, какова их ответственность и каковы политические пробелы », - сказал Гарсия. «Имейте координированный, управляемый руководством процесс, вместо того, чтобы позволить всем этим комитетам уйти с фриланса с их следующей замечательной идеей».

Если один комитет настаивает на том, чтобы Министерство юстиции США обладало большим авторитетом, а второе - для DHS, чтобы иметь больше полномочий, «мы не добиваемся прогресса, мы уходим от растрескивания», добавил Гарсия.

Время Гарсии в DHS было отмечено гиперкритицизмом на Конгрессе, контролируемом демократами, с назначением его руководства по словам бывшего президента республики Джорджа Буша. Существовали также серьезные проблемы с управлением в DHS, отчасти потому, что агентству исполнилось всего шесть лет, сказал Гарсия, но большая проблема заключалась в том, что руководители агентств были чувствительны к критике со стороны Конгресса и не позволяли сотрудникам более низкого уровня принимать решения, которые они принимали эксперт, чтобы сделать.

«Решения принимались на политическом уровне, а не на уровне государственных служащих», - сказал он.

Некоторые из кризисов в Конгрессе DHS казались «циничными», добавил Гарсия, теперь президент Garcia Strategies, консалтинговая группа.

Представители Комитета внутренней безопасности Палаты представителей США не сразу отреагировали на просьбу о реакции на замечания Гарсии. В последние годы Комитет Дома провел несколько слушаний, посвященных кибербезопасности.

Критика Гарсии по политическому процессу кибербезопасности появилась через два дня после того, как Управление отчетности США (GAO) опубликовало отчет о том, что федеральные ИТ-системы остаются уязвимыми для различных cyberattacks.

Аудит безопасности «выявил значительные недостатки в средствах контроля безопасности на федеральных информационных системах, что привело к повсеместной уязвимости», - говорится в докладе GAO. «ГАО выявило слабые стороны во всех основных категориях контроля информационной безопасности в федеральных агентствах».

В течение 2008 года аудиты обнаружили недостатки в контроле информационной безопасности в 23 из 24 крупных учреждений США, говорится в сообщении GAO. Агентства не последовательно аутентифицировали пользователей для предотвращения несанкционированного доступа к системам; не шифрует конфиденциальные данные; и не регистрировали и не отслеживали события, связанные с безопасностью, сказал ГАО. Агентства не смогли полностью реализовать программы обеспечения информационной безопасности, говорится в отчете.

Отвечая на вопрос, что Конгресс может сделать, чтобы помочь частным компаниям лучше защитить себя, Гарсия и Алан Кесслер, президент поставщика защиты от вторжений TippingPoint, задали вопрос о том, будут ли новые правила продуктивными.

Кесслер сказал, что у многих крупных компаний должно быть достаточно стимулов для защиты своих данных. «Я не уверен, что правила или штраф неизбежно заставят совета директоров или руководителей высшего звена ИТ», - сказал он. «Они могут потерять все с одной уязвимостью».

Однако Конгресс может создать некоторые стимулы для предприятий среднего бизнеса, которые не имеют ресурсов для надлежащего решения проблемы кибербезопасности, добавил Кесслер.

Гарсия также поставил под вопрос, новые правила будут эффективными, но он предупредил, что они могут приехать. По его словам, в некоторых отраслях США по-прежнему недостаточно кибербезопасности. «Может быть, время, когда Конгресс будет сыт по горло … и объявит провал рынка и отрегулирует», - сказал он.