חלוקת מענקים שערורייתית ומשבר מימון: מה קורה ב-CISA?
הגוף הפדרלי שאמור להגן על תשתיות קריטיות בארה"ב חשוף לביקורת קשה לאחר שמיליוני דולרים חולקו לעובדים לא זכאים. במקביל הסוכנות לא מצליחה לגייס כסף למימון מאגר הפרצות CVE שכמעט קרס באפריל
תמונה: נוצרה באמצעות AI
סוכנות הסייבר הפדרלית (CISA), שמצופה ממנה להיות חומת המגן של ארה"ב מול מתקפות סייבר, אמורה להיות חומת המגן של ארה"ב מפני התקפות סייבר, אבל בזמן האחרון היא חוטפת אש משני כיוונים שונים. בשני המקרים, הבעיה היא אותה הבעיה: ניהול כושל של הכסף והמשאבים הכי חשובים שלה.
מצד אחד, דוח מטעם משרד המפקח הכללי (OIG) במחלקת ביטחון המולדת חשף ניהול כושל ובזבוז כספי ציבור בתוכנית שנועדה לשמר מומחי סייבר בתוך המערכת. מצד שני, אותה סוכנות עצמה מנסה כעת למצוא מנגנוני מימון חדשים כדי להבטיח את המשך קיומה של אחת מתשתיות הידע החשובות בעולם – תוכנית CVE לרישום פרצות אבטחה.
כשלים מתמשכים ותשלומים מופרכים
תוכנית Cyber Incentive, שהוקמה בשנת 2015 ונועדה לשמור על מומחי סייבר במגזר הציבורי, הפכה על פי משרד המפקח הכללי לבדיחה. הדוח, שהתפרסם בעקבות תלונה אנונימית שהוגשה לפני שנתיים, מצא כי CISA אישרה במשך שנים תוספות שכר לאלפי עובדים ובהם רבים שלא היו זכאים כלל. במקום שהתמריץ יגיע לבעלי כישורים ייחודיים ולתפקידים קריטיים, חולקו מענקים גם לעובדי תמיכה שאין להם כל זיקה לאבטחת מידע.
התשלומים הגיעו לסכומים של בין 25-21 אלף דולר בשנה, כשלפי הדוח CISA לא שמרה תיעוד מסודר של מי קיבל את המענק ולמה. ב-2023, למשל, מתוך 3,220 עובדים, כמעט מחצית (43.5%) קיבלו את המענק, כולל עובדים מתפקידים שלא קשורים ישירות לסייבר.
ב-OIG האשימו את CISA בכך שהרחיבה את הקריטריונים לקבלת התמריץ מבלי ליצור מנגנון פיקוח מסודר, ופיזרה את האחריות בין מחלקות שונות. התוצאה הייתה לא רק בזבוז כספי ציבור אלא גם פגיעה במורל ובאמון הפנימי עד כדי כך שהתוכנית אולי עשתה יותר נזק מתועלת.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
במקביל לחשיפות הללו, CISA מנהלת קרב מסוג אחר שלהבטיח את המשך מימון Common Vulnerabilities and Exposures (CVE), מאגר הפרצות הבינלאומי שמאפשר לכולם לדבר באותה שפה כשמדובר בחולשות תוכנה. התוכנית, שהוקמה ב-1999 ומנוהלת שנים רבות יחד עם MITRE, כמעט קרסה באפריל האחרון לאחר שהמכון התריע כי המימון הפדרלי מסתיים. רק התגייסות מהירה של קהילת הסייבר מנעה את סגירתו של אחד הכלים הקריטיים ביותר לאבטחת מידע גלובלית.
"כמשאב ציבורי חיוני, התשתית והשירותים המרכזיים של תוכנית CVE דורשים השקעה מתמשכת מצד CISA", נכתב במסמך שפרסמה הסוכנות ביום רביעי, שבו הוצגו אסטרטגיות להמשך הפעילות. "רבים בקהילה ביקשו שנבחן מקורות מימון חלופיים. ככל שנעריך מנגנוני מימון מגוונים, נעדכן את הקהילה". בסוכנות החלו לבחון מנגנוני מימון מגוונים יותר, לצד שיתופי פעולה רחבים עם הקהילה והעלאת רמת התקנים לאיכות המידע.
שני צדדים שיוצרים סיפור מטריד אחד
השילוב בין שני הסיפורים יוצר תמונה מדאיגה: מצד אחד, הסוכנות בזבזה מיליוני דולרים על תוכנית תמריצים מנוהלת רע, שחילקה כספים למי שלא היו זכאים להם. מצד שני, אותה סוכנות בדיוק נאלצת כעת להתחנן למקורות מימון כדי לשמר את אחד מהנכסים החשובים ביותר של קהילת הסייבר העולמית.
במציאות שבה איומי סייבר הופכים מורכבים ומסוכנים יותר, CISA, הגוף שאמור לשמור על המערכות הקריטיות של ארה"ב, מוצא את עצמו מתמודד לא רק עם ההאקרים שמעבר לים, אלא גם עם בעיות ניהול פנימיות שמכרסמות באמינותו. אם לא תצליח לשקם את האמון בתמריצים מחד ולמצוא מימון יציב ל־CVE מאידך, החשש הוא שהסוכנות תישאר חשופה בדיוק ברגע שבו היא אמורה להגן על אחרים.
הבעיות שנחשפות ב-CISA לא מסתיימות בגבולות ארצות הברית. התלות של ממשלות, חברות טכנולוגיה וארגוני אבטחה ברחבי העולם במאגר CVE ובסטנדרטים שהסוכנות מובילה, הופכת כל משבר ניהולי או מימוני שלה לסיכון בינלאומי. כאשר התמריצים נשחקים והכישרונות עוזבים, וכאשר עתידו של מאגר פרצות עולמי עומד בסימן שאלה, גם צוותי IT באירופה, באסיה ובישראל מוצאים את עצמם עם פחות מידע אמין ועם יותר חלונות זמן שההאקרים יכולים לנצל. במילים אחרות, כל טלטלה פנימית ב-CISA מתגלגלת מהר מאוד גם החוצה, ומשפיעה על היכולת של כלל התעשייה להדוף את המתקפה הבאה.
