Mantan Kepala Polisi Keamanan Sekuler DHS di Kongres

Bagian dari kesalahan untuk terus masalah keamanan cyber di pemerintah AS dan di luar kebohongan dengan Kongres dan pendekatan "scattershot" untuk menangani masalah ini, mantan asisten sekretaris untuk cybersecurity di Departemen Keamanan Dalam Negeri AS mengatakan Kamis.

Kongres telah sering memberikan pengawasan agresif terhadap upaya cybersecurity di DHS dan tempat lain, tetapi ada pertempuran lahan lanjutan antara berbagai komite kongres, dan anggota parlemen memperkenalkan beberapa undang-undang yang kadang-kadang bertentangan satu sama lain, kata Gregory Garcia, yang menjabat sebagai asisten sekretaris untuk cybersecurity dan komunikasi di DHS dari akhir 2006 hingga akhir 2008.

Garcia menyebutkan delapan komite kongres yang memiliki tanggung jawab ty untuk sebagian kebijakan cybersecurity, dan dia meminta pimpinan kongres untuk mengoordinasikan upaya cybersecurity. Beberapa komite mendorong lebih banyak tanggung jawab cybersecurity di luar DHS, sementara komite lain menolak perubahan, katanya dalam konferensi pers.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pemimpin kongres "perlu bawa komite mereka bersama, duduk di sekitar meja … dan pastikan semua orang mengerti apa yurisdiksi mereka, apa tanggung jawab mereka, dan apa kesenjangan kebijakannya, "kata Garcia. "Memiliki proses yang terkoordinasi dan berorientasi pada kepemimpinan, daripada membiarkan semua komite ini lepas dengan ide bagus berikutnya."

Jika satu komite menekan Departemen Kehakiman AS untuk memiliki otoritas lebih dan yang kedua adalah mendesak untuk DHS memiliki lebih banyak otoritas, "kami tidak membuat kemajuan, kami pergi dari scattershot," tambah Garcia.

Waktu Garcia di DHS ditandai dengan hiperkritisme dari Kongres yang dikuasai Demokrat dari agensi, dengan kepemimpinannya yang ditunjuk oleh mantan Presiden Republik George Bush, katanya. Ada juga masalah manajemen yang signifikan di DHS, sebagian karena agen tersebut baru berusia enam tahun, kata Garcia, tetapi masalah besar adalah bahwa para pemimpin agensi sensitif terhadap kritik dari Kongres, dan tidak akan membiarkan staf tingkat bawah membuat keputusan yang mereka miliki keahlian untuk membuat.

"Keputusan dibuat di tingkat politik, bukan di tingkat pegawai negeri," katanya.

Beberapa kritik kongres DHS tampak "sinis," tambah Garcia, sekarang presiden Garcia Strategies, kelompok konsultan.

Perwakilan dari Komite Keamanan Dalam Negeri DPR AS tidak segera menanggapi permintaan untuk reaksi atas komentar Garcia. Komite DPR telah menyelenggarakan beberapa dengar pendapat yang berfokus pada keamanan dunia maya dalam beberapa tahun terakhir.

Kritik Garcia terhadap proses kebijakan keamanan dunia datang dua hari setelah Kantor Akuntabilitas Pemerintah AS (GAO) mengeluarkan laporan yang mengatakan bahwa sistem TI federal tetap rentan terhadap berbagai cyberattacks.

Audit keamanan telah "mengidentifikasi kelemahan signifikan dalam kontrol keamanan pada sistem informasi federal, yang mengakibatkan kerentanan yang meresap," kata laporan GAO. "GAO telah mengidentifikasi kelemahan dalam semua kategori utama pengendalian keamanan informasi di lembaga federal."

Selama tahun 2008, audit menemukan kelemahan pada kontrol keamanan informasi di 23 dari 24 agensi utama AS, GAO mengatakan. Agensi tidak secara konsisten mengotentikasi pengguna untuk mencegah akses tidak sah ke sistem; tidak mengenkripsi data sensitif; dan tidak mencatat dan memantau peristiwa yang relevan dengan keamanan, kata GAO. Agen-agen telah gagal untuk sepenuhnya mengimplementasikan program keamanan informasi, kata laporan itu.

Bertanya apa yang dapat dilakukan Kongres untuk membantu perusahaan swasta lebih baik melindungi diri mereka sendiri, Garcia dan Alan Kessler, presiden vendor perlindungan intrusi TippingPoint, mempertanyakan apakah peraturan baru akan menjadi produktif.

Banyak perusahaan besar harus memiliki cukup insentif untuk melindungi data mereka, kata Kessler. "Saya tidak yakin peraturan atau baik-baik saja pasti akan memaksa dewan direksi atau eksekutif TI senior," katanya. "Mereka bisa kehilangan segalanya dengan satu kerentanan."

Namun, Kongres mungkin dapat menciptakan beberapa insentif untuk bisnis menengah yang tidak memiliki sumber daya untuk benar-benar mengatasi cybersecurity, Kessler menambahkan.

Garcia juga mempertanyakan apakah peraturan baru akan efektif, tetapi dia memperingatkan bahwa mereka mungkin akan datang. Beberapa industri AS masih tidak menganggap cybersecurity cukup serius, katanya. "Mungkin ada saatnya ketika Kongres mulai muak … dan akan menyatakan kegagalan dan regulasi pasar," katanya.