Biały Dom zasygnalizował plany obcięcia budżetu Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA) o 491 milionów dolarów, argumentując, że z organizacji służącej obronie stała się ona „kompleksem przemysłowym cenzury”.
O CISA pisaliśmy wielokrotnie. Traktujemy tę instytucję jako autorytet w zakresie procedur i strukturalnego podejścia do cyberbezpieczeństwa. Niemniej obserwujemy nie pierwszy przypadek zderzenia z amerykańską polityką wewnętrzną. Przypomnijmy kilka faktów.
Cybersecurity and Infrastructure Security Agency jest samodzielną agencją Stanów Zjednoczonych, organizacyjnie pod nadzorem Departamentu Bezpieczeństwa Wewnętrznego. Jej działalność jest kontynuacją National Protection and Programs Directorate (NPPD). CISA została założona 16 listopada 2018 roku, kiedy prezydent Donald Trump podpisał Ustawę o Agencji Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury. Aktualnym dyrektorem Agencji jest Brandon Wales. Pierwszym dyrektorem CISA był podsekretarz NPPD Christopher Krebs, a jego pierwszym zastępcą został jego były zastępca Matthew Travis. Rolą CISA jest poprawa cyberbezpieczeństwa na wszystkich szczeblach władzy, koordynacja programów cyberbezpieczeństwa we wszystkich stanach oraz poprawa rządowych zabezpieczeń cybernetycznych przed hakerami.
Ciekawie zrobiło się w 2020 r., kiedy CISA utworzyła stronę internetową zatytułowaną „Kontrola Plotek”, aby odeprzeć dezinformację związaną z wyborami prezydenckimi. 12 listopada 2020 r. CISA wydała komunikat prasowy, w którym stwierdziła: „Nie ma dowodów na to, że jakikolwiek system głosowania usunął lub utracił głosy, zmienił głosy lub został w jakikolwiek sposób naruszony”. Tego samego dnia dyrektor Krebs wskazał, że spodziewa się odwołania ze stanowiska przez administrację Trumpa. Krebs rzeczywiście został zwolniony przez Trumpa 17 listopada 2020 r. za pośrednictwem tweeta. Pretekstem były jego uwagi dotyczące bezpieczeństwa wyborów.
Bryan Ware, zastępca dyrektora CISA, złożył rezygnację 12 listopada. Towarzyszyły temu doniesienia, że o jego rezygnację wnioskowano.
Mimo że od opisywanych wydarzeń upłynęło parę dobrych lat, nadszedł czas rozliczeń. W dokumentach budżetowych przesłanych do Kongresu proponowane cięcie w wysokości 491 milionów dolarów jest przedstawiane jako „ponowne skupienie” CISA na jej głównej misji „przy jednoczesnym wyeliminowaniu marnotrawstwa”.
Zakładany budżet „usuwa również biura, które są duplikatami istniejących i skutecznych programów na szczeblu stanowym i federalnym”, zgodnie z dokumentacją opublikowaną przez Biały Dom.
„Budżet eliminuje programy skupione na tak zwanej dezinformacji i propagandzie, a także biura zaangażowania zewnętrznego […]. Te programy i biura były wykorzystywane jako centrum w kompleksie przemysłowej cenzury, do łamania Pierwszej Poprawki, atakowania Amerykanów za wolność słowa i atakowania Prezydenta” – napisał dyrektor OMB Russell Vought w uzasadnieniu cięć.
„CISA bardziej skupiała się na cenzurze niż na ochronie kluczowych systemów narodu i narażała je z powodu złego zarządzania i nieefektywności, a także skupienia się na autopromocji” – dodał Biały Dom.
Uzasadnienie to zostało powtórzone przez Sekretarza Departamentu Bezpieczeństwa Krajowego Kristi Noem w przemówieniu otwierającym konferencję RSA, w którym oskarżyła CISA o odejście od jej pierwotnego celu.
Noem informowała, że DHS przeprowadza przegląd struktury, finansowania i personelu CISA i nalegała, aby Agencja została przeorientowana na swoją pierwotną misję praktycznego wsparcia cyberobrony.
„Nie eliminujemy CISA, powiedziała Noem, ale upewniamy się, że robi to, do czego została stworzona: poluje i wzmacnia systemy. Tego potrzebuje naród amerykański”.
Noem stwierdziła, że w przyszłości zasoby CISA zostaną przesunięte w kierunku pomocy w obronie agencji federalnych, władz stanowych i lokalnych oraz małych firm, którym często brakuje wiedzy z zakresu cyberbezpieczeństwa.
Proponowane cięcie budżetu poprzedzały zawirowania w CISA w ostatnich tygodniach, które obejmowały zwolnienia, odnawianie umów w ostatniej chwili w ramach programu MITRE CVE i anulowanie umów z dostawcami rozwiązań bezpieczeństwa.