Sebuah layanan yang dibuat oleh Badan Keamanan Siber dan Infrastruktur untuk memacu penyebaran petunjuk ancaman siber dan langkah-langkah pertahanan gagal karena kurangnya jangkauan, menurut laporan pengawas baru.
Kantor Inspektur Jenderal Departemen Keamanan Dalam Negeri menemukan bahwa penggunaan Pembagian Indikator Otomatis (AIS) CISA telah turun ke level terendah sejak tahun 2017, dengan penurunan sebesar 93% dalam pembagian indikator ancaman siber dari tahun 2020 hingga 2022.
CISA mengaitkan penurunan ini sebagian dengan “mitra federal yang masuk” yang berhenti berbagi informasi karena “masalah keamanan yang tidak ditentukan dengan memindahkan informasi dari sistem saat ini ke AIS.” Namun, OIG menganggap lembaga siber tersebut bersalah karena tidak memiliki “strategi penjangkauan untuk merekrut dan mempertahankan produsen data”, yang bertentangan dengan ketentuan dalam Undang-Undang Berbagi Informasi Keamanan Siber tahun 2015 yang meminta sekretaris Departemen Keamanan Dalam Negeri untuk memfasilitasi dan mendorong pembagian data. intelijen ancaman. .
“Tanpa penjelasan, CISA menghentikan upaya penjangkauan untuk mempromosikan AIS pada Mei 2022,” kata laporan itu. “Kurangnya penjangkauan CISA menyebabkan setidaknya satu pemangku kepentingan utama tidak mengetahui tentang AIS. Pemangku kepentingan ini baru menyadari potensi pertukaran informasi dengan melakukan penelitiannya sendiri dan menghubungi CISA secara langsung untuk menjadi peserta.”
CISA, yang meluncurkan AIS pada tahun 2016, menyelesaikan pembaruan sistem ke versi 2.0 pada bulan Maret 2022. Pembaruan tersebut, bertujuan untuk mengatasi keterbatasan dalam berbagi informasi, mencakup konversi ke portal tunggal untuk pengiriman, fitur untuk melacak status pengiriman, fungsi pemfilteran, dan memungkinkan pengirim tetap anonim.
OIG menemukan bahwa CISA berencana untuk “mendirikan Kantor Manajemen Layanan Kualitas untuk menciptakan pasar online sehingga CISA dapat mengiklankan AIS kepada calon produsen data,” namun tidak pernah diluncurkan. Badan pengawas tersebut mengatakan pihaknya telah melakukan “banyak upaya yang gagal untuk mewawancarai manajemen eksekutif senior CISA” mengenai keputusan tersebut, namun pada akhirnya tidak dapat menyelesaikan masalah tersebut.
OIG juga mencatat keputusan manajemen CISA untuk menghentikan penyusunan pedoman urusan eksternal yang dimaksudkan untuk meningkatkan jangkauan AIS. Pilihan tersebut setidaknya sebagian disebabkan oleh fakta bahwa lembaga tersebut bekerja dengan informasi kontrak yang tidak akurat untuk peserta AIS, kata pengawas tersebut.
Konsekuensi dari kurangnya penjangkauan CISA adalah penurunan tajam dalam pengumpulan petunjuk ancaman siber federal: dari 9.484.158 pada tahun 2021 menjadi 413.834 pada tahun 2022, turun hampir 96%.
Untuk mengatasi masalah penjangkauan, OIG merekomendasikan agar CISA “mengembangkan dan menerapkan strategi dan metrik kinerja untuk secara aktif merekrut dan mempertahankan” peserta AIS, termasuk produsen data federal. CISA menyetujui proposal tersebut, dengan menyatakan bahwa Divisi Keamanan Siber telah menugaskan evaluasi independen terhadap AIS yang mencakup pertimbangan sistem berbagi informasi alternatif. Badan tersebut mengatakan akan mengkomunikasikan rekomendasi dari temuannya dan mengkomunikasikan perubahan kepada peserta sesuai kebutuhan pada tanggal 31 Juli 2025.
CISA juga setuju dengan rekomendasi OIG agar tim direkturnya bekerja sama dengan chief information officer dan chief financial officer lembaga tersebut untuk mendokumentasikan biaya-biaya di masa depan yang terkait dengan AIS. Rekomendasi tersebut muncul dari pengungkapan badan pengawas tersebut bahwa CISA “tidak dapat mengidentifikasi pengeluaran pendanaan TA 2021 dan TA 2022 secara rinci untuk kemampuan AIS.”
