Mantan Ketua Juru Diri Cybersecurity DHS di Kongres

Salah satu penyebab masalah keselamatan siber yang berterusan dalam kerajaan Amerika Syarikat dan melampaui masalah Kongres dan pendekatan "penebang" untuk menangani masalah itu, bekas penolong setiausaha untuk keselamatan siber di Jabatan Keselamatan Dalam Negeri Amerika Syarikat pada hari Khamis.

Kongres sering memberikan pengawasan agresif terhadap usaha siber di DHS dan di tempat lain, tetapi masih ada pertempuran rusuhan antara berbagai jajaran kongres, dan pembuat undang-undang memperkenalkan banyak undang-undang yang kadang-kadang bertentangan dengan satu sama lain, kata Gregory Garcia, yang menjabat sebagai penolong setiausaha untuk cybersecurity dan komunikasi di DHS dari akhir 2006 hingga akhir 2008.

Garcia menyebut lapan jawatankuasa kongres yang bertanggungjawab untuk sebahagian daripada dasar keselamatan siber, dan dia menyeru kepimpinan kongres untuk menyelaraskan usaha keselamatan siber. Beberapa jawatankuasa menuntut lebih banyak tanggungjawab keselamatan siber di luar DHS, sementara jawatankuasa lain menentang perubahan, katanya dalam taklimat pers.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows]

Pemimpin Kongres "perlu membawa jawatankuasa mereka bersama-sama, duduk di sekeliling meja … dan pastikan semua orang memahami apa bidang kuasa mereka, tanggungjawab mereka, dan apakah jurang dasar, "kata Garcia. "Mempunyai proses yang diselaraskan, kepimpinan yang dipimpin, dan bukannya membiarkan semua jawatankuasa ini melepaskan freelancing dengan idea hebat mereka yang akan datang."

Jika satu jawatankuasa sedang mendesak untuk Jabatan Keadilan AS untuk mempunyai lebih banyak kuasa dan satu lagi menekan DHS mempunyai lebih banyak kuasa, "Kami tidak membuat kemajuan, kami akan melepaskan tembakan," tambah Garcia.

Waktu Garcia di DHS ditandai dengan hypercriticism dari Kongres yang dikuasai oleh Demokrat agensi itu, dengan kepemimpinannya yang dilantik oleh bekas Presiden Republik George Bush, katanya. Terdapat juga masalah pengurusan yang signifikan di DHS, sebahagiannya kerana agensi itu hanya berumur enam tahun, kata Garcia, tetapi masalah besar adalah pemimpin agensi yang sensitif terhadap kritikan dari Kongres, dan tidak akan membiarkan para pekerja di tingkat bawah membuat keputusan yang mereka miliki

"Keputusan dibuat di peringkat politik, bukan pada peringkat pegawai negeri," katanya.

Beberapa kritik kongres terhadap DHS kelihatannya "sinis," tambah Garcia, sekarang presiden Garcia Strategies, sebuah kumpulan perundingan.

Wakil-wakil dari Jawatankuasa Keselamatan Dalam Negeri Dewan Perwakilan AS tidak segera bertindak balas terhadap permintaan reaksi terhadap komen Garcia.

Kritik Garcia tentang proses kebijakan keamanan cyber datang dua hari setelah Pejabat Akuntabilitas Kerajaan AS (GAO) mengeluarkan laporan mengatakan bahwa sistem IT persekutuan masih terdedah kepada pelbagai jenis cyberattacks.

Audit Keselamatan telah "mengenal pasti kelemahan-kelemahan yang ketara dalam kawalan keselamatan sistem maklumat persekutuan, mengakibatkan kelemahan yang meresap," kata laporan Gao. "GAO telah mengenal pasti kelemahan dalam semua kategori kawalan keselamatan maklumat di agensi persekutuan."

Pada tahun 2008, audit mendapati kelemahan pada kawalan keselamatan maklumat di 23 daripada 24 agensi utama A.S., kata GAO. Agensi tidak mengesahkan pengguna secara konsisten untuk mengelakkan akses yang tidak dibenarkan ke sistem; tidak menyulitkan data sensitif; dan tidak log dan memantau peristiwa berkaitan keselamatan, kata GAO.

Ditanya apa yang dapat dilakukan Kongres untuk membantu syarikat swasta melindungi diri mereka sendiri, Garcia dan Alan Kessler, presiden penjual perlindungan pencerobohan TippingPoint, mempersoalkan apakah peraturan baru akan menjadi produktif.

Banyak syarikat besar harus mempunyai insentif yang cukup untuk melindungi data mereka, kata Kessler. "Saya tidak pasti peraturan atau denda semestinya akan memaksa lembaga pengarah atau eksekutif kanan IT," katanya. "Mereka boleh kehilangan segala-galanya dengan satu kelemahan."

Namun, Kongres mungkin dapat membuat beberapa insentif untuk perniagaan bersaiz sederhana yang tidak memiliki sumber daya untuk mengatasi masalah keselamatan siber, kata Kessler. peraturan baru akan berkesan, tetapi dia memberi amaran bahawa mereka mungkin akan datang. Sesetengah industri A.S. masih tidak mengambil keselamatan siber cukup serius, katanya. "Mungkin ada masa apabila Kongres menjadi muak … dan akan mengisytiharkan kegagalan pasaran dan mengawal selia," katanya.