Ehemaliger DHS Cybersecurity-Chef weist Finger auf Kongress

"Ein Teil der Schuld an fortgesetzten Cybersicherheitsproblemen in der US-Regierung und darüber hinaus liegt beim Kongress und seinem" Scattershot "-Ansatz zur Bewältigung des Problems, sagte ein ehemaliger stellvertretender Sekretär für Cybersicherheit im US-Heimatschutzministerium am Donnerstag.

Kongress Englisch: www.mjfriendship.de/en/index.php?op…39&Itemid=32 Er hat oft eine offensive Kontrolle der Cybersicherheitsbestrebungen im DHS und anderswo gegeben, aber es gibt weiterhin Grabenkämpfe zwischen verschiedenen Kongressausschüssen, und Gesetzgeber führen mehrere Gesetze ein, die manchmal miteinander in Konflikt stehen, sagte Gregory Garcia, der stellvertretender Sekretär für Cybersicherheit und Kommunikation bei DHS von Ende 2006 bis Ende 2008.

Garcia erwähnt acht Kongressausschüsse, die verantwortlich sind Für einen Teil der Cybersicherheitspolitik forderte er die Führung des Kongresses auf, die Cybersicherheitsbemühungen zu koordinieren. Einige Ausschüsse drängen auf mehr Verantwortung für die Cybersicherheit außerhalb des DHS, während andere Ausschüsse sich Änderungen widersetzen, sagte er während einer Pressekonferenz.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows PC]

Kongressleiter müssen bringen Sie ihre Komitees zusammen, setzen Sie sie um den Tisch herum … und stellen Sie sicher, dass alle verstehen, was ihre Zuständigkeit ist, wofür sie verantwortlich sind und welche politischen Lücken bestehen ", sagte Garcia. "Haben Sie einen koordinierten, führungsorientierten Prozess, anstatt all diese Komitees mit ihrer nächsten großartigen Idee freiberuflich arbeiten zu lassen."

Wenn ein Komitee Druck auf das US-Justizministerium ausübt, um mehr Autorität zu haben, und eine zweite drängt darauf DHS, um mehr Autorität zu haben, "wir machen keine Fortschritte, wir gehen von Scattershot ab", fügte Garcia hinzu.

Garcias Zeit im DHS war geprägt von Hyperkritik von einem von Demokraten kontrollierten Kongress der Agentur, mit der Ernennung seiner Führung vom ehemaligen republikanischen Präsidenten George Bush, sagte er. Es gab auch erhebliche Managementprobleme bei DHS, teilweise weil die Agentur nur sechs Jahre alt ist, sagte Garcia, aber ein großes Problem war, dass die Agenturleiter empfindlich auf Kritik aus dem Kongress waren, und niedere Mitarbeiter nicht die Entscheidungen treffen ließen, die sie hatten Sachkenntnis zu machen.

"Entscheidungen wurden auf der politischen Ebene, nicht auf der Ebene der Beamten getroffen", sagte er.

Einige der Kongress Kritik an DHS schien "zynisch", fügte Garcia, jetzt Präsident von Garcia Strategies, eine beratende Gruppe.

Vertreter des Homeland Security Committee des US-Repräsentantenhauses reagierten nicht sofort auf eine Anfrage auf eine Reaktion auf Garcias Kommentare. Das Hauskomitee hat in den letzten Jahren mehrere Anhörungen zum Thema Cybersicherheit veranstaltet.

Garcias Kritik am Cybersicherheitsprozess kam zwei Tage nachdem das US-amerikanische Government Accountability Office (GAO) einen Bericht veröffentlicht hatte, dass die IT-Systeme des Bundes für eine Vielzahl von Bedrohungen anfällig bleiben Cyberangriffe.

Sicherheitsüberprüfungen haben "erhebliche Schwachstellen bei den Sicherheitskontrollen in föderalen Informationssystemen festgestellt, die zu weit verbreiteten Schwachstellen führen", so der GAO-Bericht. "GAO hat Schwachstellen in allen wichtigen Kategorien von Informationssicherheitskontrollen bei Bundesbehörden identifiziert."

Im Jahr 2008 fanden Audits Schwächen bei der Informationssicherheit bei 23 von 24 großen US-Behörden, so das GAO. Agenturen authentifizierten Benutzer nicht konsequent, um unbefugten Zugriff auf Systeme zu verhindern; verschlüsselte sensible Daten nicht; und protokolliert und überwacht sicherheitsrelevante Ereignisse nicht, sagte das GAO. Agenturen haben es versäumt, Informationssicherheitsprogramme vollständig umzusetzen, hieß es in dem Bericht.

Auf die Frage, was der Kongress unternehmen kann, um Privatunternehmen besser zu schützen, stellten Garcia und Alan Kessler, Präsident des Intrusion Protection-Anbieters TippingPoint, die Frage, ob neue Vorschriften produktiv wären.

Viele große Unternehmen sollten genug Anreize haben, ihre Daten zu schützen, sagte Kessler. "Ich bin mir nicht sicher, ob Regulierungen oder Bußgelder notwendigerweise Vorstände oder leitende IT-Manager zwingen werden", sagte er. "Sie können alles mit einer Schwachstelle verlieren."

Allerdings könnte der Kongress einige Anreize für mittelständische Unternehmen schaffen, die nicht über die Ressourcen verfügen, sich effektiv mit Cybersicherheit zu befassen, fügte Kessler hinzu.

Garcia fragte auch, ob neue Vorschriften wären wirksam, aber er warnte davor, dass sie kommen könnten. Einige US-Industrien würden die Cybersicherheit immer noch nicht ernst genug nehmen, sagte er. "Es mag eine Zeit geben, in der der Kongress die Nase voll hat … und er wird Marktversagen erklären und regulieren", sagte er.