Voormalig DHS Cybersecurity Chief Points Finger bij Congres

Deel van de schuld voor aanhoudende cyberbeveiligingsproblemen in de Amerikaanse regering en daarbuiten ligt bij het Congres en de "scattershot" -benadering van het probleem, een voormalige assistent-secretaris voor cyberbeveiliging bij het Amerikaanse ministerie van Binnenlandse Veiligheid zei donderdag.

Congres heeft vaak agressief toezicht geboden op cyberbeveiligingsinspanningen bij DHS en elders, maar er zijn aanhoudende turfgevechten tussen verschillende congrescommissies, en wetgevers introduceren meerdere stukken wetgeving die soms tegenstrijdig zijn, zei Gregory Garcia, die diende als assistentsecretaris voor cyberbeveiliging en communicatie bij het DHS van eind 2006 tot eind 2008.

Garcia noemde acht congrescommissies die verantwoordelijkheid hebben voor een deel van het cybersecuritybeleid, en hij riep het congresleiderschap op om de cyberbeveiligingsinspanningen te coördineren. Sommige commissies dringen aan op meer cyberbeveiligingsverantwoordelijkheid buiten het DHS, terwijl andere commissies zich verzetten tegen veranderingen, zei hij tijdens een persconferentie.

[Lees meer: ​​Hoe u malware van uw Windows-pc verwijdert]

Congresleiders "moeten breng hun commissies samen, plaats ze rond de tafel … en zorg ervoor dat iedereen begrijpt wat hun jurisdictie is, wat hun verantwoordelijkheid is en wat de beleidslacunes zijn, "zei Garcia. "Zorg voor een gecoördineerd, leiderschapgestuurd proces, in plaats van al deze commissies los te laten met hun volgende geweldige idee."

Als één commissie opkomt voor het Amerikaanse ministerie van Justitie om meer autoriteit te hebben en een tweede voor DHS om meer autoriteit te hebben, "we boeken geen vooruitgang, we gaan van de schrik af", voegde Garcia eraan toe.

Garcia's tijd bij DHS werd gekenmerkt door hypercriticisme van een door de democraat gecontroleerd congres van het agentschap, met zijn leiderschap benoemd door de voormalige Republikeinse president George Bush, zei hij. Er waren ook significante managementproblemen bij het DHS, deels omdat het bureau slechts zes jaar oud is, zei Garcia, maar een groot probleem was dat de leiders van het agentschap gevoelig waren voor kritiek van het Congres, en de lagere leidinggevenden niet de beslissingen zouden laten nemen die ze hadden expertise te maken.

"Beslissingen werden genomen op politiek niveau, niet op het niveau van ambtenaren", zei hij.

Sommige congreskritieken van DHS leken "cynisch", voegde Garcia toe, nu president van Garcia Strategies, een adviesgroep.

Vertegenwoordigers van het Homeland Security Committee van het Amerikaanse Huis van Afgevaardigden reageerden niet onmiddellijk op een verzoek om een ​​reactie op de opmerkingen van Garcia. De House Committee heeft de afgelopen jaren verschillende hoorzittingen georganiseerd over cybersecurity.

Garcia's kritiek op het cyberveiligheidsbeleidproces kwam twee dagen nadat het Amerikaanse Government Accountability Office (GAO) een rapport uitbracht waarin stond dat federale IT-systemen kwetsbaar blijven voor verschillende cyberaanvallen.

Veiligheidscontroles hebben "significante tekortkomingen vastgesteld in de beveiligingscontroles op federale informatiesystemen, resulterend in diepgaande kwetsbaarheden", aldus het GAO-rapport. "GAO heeft tekortkomingen geconstateerd in alle belangrijke categorieën van informatiebeveiligingscontroles bij federale agentschappen."

In 2008 vonden audits zwakke punten bij de informatiebeveiligingscontroles bij 23 van de 24 grote Amerikaanse agentschappen, aldus de GAO. Bureaus hebben gebruikers niet consistent geauthenticeerd om ongeoorloofde toegang tot systemen te voorkomen; heeft gevoelige gegevens niet versleuteld; en heeft geen beveiligingsrelevante gebeurtenissen geregistreerd en bewaakt, aldus de GAO. Agentschappen hebben programma's voor informatiebeveiliging niet volledig geïmplementeerd, aldus het rapport.

Gevraagd naar wat het Congres kan doen om private bedrijven beter te beschermen, vroegen Garcia en Alan Kessler, president van inbraakbeveiligingsbedrijf TippingPoint, zich af of nieuwe voorschriften productief zouden zijn.

Veel grote bedrijven moeten voldoende prikkels hebben om hun gegevens te beschermen, zei Kessler. "Ik ben niet zeker dat regels of boetes noodzakelijkerwijs zullen leiden tot het afdwingen van raden van bestuur of senior IT-managers," zei hij. "Ze kunnen alles met één kwetsbaarheid verliezen." Het Congres kan misschien wel enkele prikkels creëren voor middelgrote bedrijven die niet over de middelen beschikken om cybersecurity op de juiste manier aan te pakken, voegde Kessler eraan toe.

Garcia vroeg zich ook af of nieuwe voorschriften zouden effectief zijn, maar hij waarschuwde dat ze mogelijk zouden komen. Sommige Amerikaanse industrieën houden cybersecurity nog steeds niet serieus genoeg, zei hij. "Er is misschien een tijd dat het Congres het beu is … en de markt zal falen en reguleren," zei hij.