De wekenlange overheidsshutdown van dit najaar maakte de zorgen alleen maar groter over de staat van de federale cyberbeveiliging – waardoor de mogelijkheid ontstaat van blinde vlekken of lacunes in het toezicht terwijl zoveel werknemers verlof kregen, wat in het algemeen bijdroeg aan de toch al omvangrijke IT-achterstand bij overheidsinstanties.
“Federale IT-medewerkers hebben goede banen, er zijn niet genoeg middelen voor de problemen waarmee ze te maken krijgen”, vertelde een voormalige nationale veiligheidsfunctionaris, die om anonimiteit vroeg omdat ze niet bevoegd zijn om met de pers te spreken, aan WIRED. “Het is altijd ondergefinancierd. Ze moeten altijd een inhaalslag maken.”
Amélie Koran, een cybersecurity-consultant en voormalig hoofd enterprise security-architect van het ministerie van Binnenlandse Zaken, merkt op dat een van de belangrijkste gevolgen van de shutdown waarschijnlijk het verstoren of in sommige gevallen mogelijk beëindigen van relaties met gespecialiseerde overheidscontractanten was die mogelijk andere banen moesten aannemen om betaald te krijgen, maar wier institutionele kennis moeilijk te vervangen is.
De Koran voegt er ook aan toe dat, gezien de beperkte reikwijdte van de aanhoudende resolutie die het Congres heeft aangenomen om de regering te heropenen, “er waarschijnlijk geen nieuwe contracten, uitbreidingen of opties zullen worden gesloten, die zullen doorwerken naar volgend jaar en daarna.”
Hoewel het onduidelijk is of de shutdown een bijdragende factor was, zei het Amerikaanse Congressional Budget Office na ruim vijf weken na de beproeving dat het had een hack ondergaan en had stappen ondernomen om de inbreuk te beperken. De Washingtonpost gerapporteerd op het moment dat het bureau werd geïnfiltreerd door een ‘vermoedelijke buitenlandse acteur’. En na jaren van ongelooflijk consequente datalekken bij de Amerikaanse overheid – waaronder de Office of Personnel Management-hack uit 2015, gepleegd door China en de uitgestrekte inbreuk tussen meerdere instanties die Rusland in 2020 lanceerde en die vaak de SolarWinds-hack wordt genoemd – waarschuwen experts dat inconsistente personeelsbezetting en verminderde aanwerving bij belangrijke instanties als CISA rampzalige gevolgen kunnen hebben.
“Wanneer, en niet als, we binnen de federale overheid een groot cyberveiligheidsincident hebben, kunnen we niet simpelweg achteraf extra cyberveiligheidsmiddelen inzetten en dezelfde resultaten verwachten die we zouden krijgen van oud personeel”, zegt Jake Williams, een voormalig NSA-hacker en huidig vice-president van onderzoek en ontwikkeling bij Hunter Strategy.
Brain drain, zegt Williams, en elk verlies aan momentum op het gebied van digitale defensie zijn een ernstige zorg voor de VS.
“Dagelijks maak ik me zorgen dat de federale cyberbeveiliging en de bescherming van kritieke infrastructuur achteruit gaan”, zegt Williams. “We moeten voorop blijven lopen.”
