CISA sin feilslåtte cybersikkerhetsretensjon sløser bort millioner

En ny tilsynsrapport avslører CISA sin feilslåtte cybersikkerhetsretensjon. Office of the Inspector General (OIG) viste at Cybersecurity and Infrastructure Security Agency misbrukte millioner av dollar fra sitt insentivprogram for cybersikkerhetsretensjon. Mellom 2020 og 2024 mislyktes CISA med å håndheve kvalifikasjonsregler, tillot feilaktige utbetalinger og opprettholdt ikke de nødvendige registrene. Disse feilene sløste bort skattebetalernes penger og undergravde programmets hensikt: å beholde cybersikkerhetspersonell i kritiske roller.

Hvordan programmet feilet

OIG fant at CISA tildelte retensjonsinsentiver på 21 000–25 000 dollar årlig til ansatte som ikke kvalifiserte seg. I en lønnsperiode i 2024 hadde 240 av 3 220 ansatte som mottok insentiver stillinger som ikke var relatert til cybersikkerhet. Dette brøt med programmets regler.

Rapporten fant også uakseptable etterbetalinger på 1,41 millioner dollar til 348 ansatte. CISA sin journalføring var ufullstendig, og Office of the Chief Human Capital Officer sikret ikke at betalingene samsvarte med kravene.

Hvorfor feilforvaltningen betyr noe

Retensjonsprogrammet var utformet for å beholde de beste cybersikkerhetsekspertene i CISA og sikre at etaten kunne svare på utviklende trusler. Feilforvaltningen har to sentrale konsekvenser:

• Skattebetalernes penger sløses bort, noe som reduserer tilliten til offentlige utgifter.
• Forsvarskapasiteten mot cybertrusler svekkes, ettersom insentiver går til ikke-kvalifisert personell i stedet for kritisk cybersikkerhetstalent.

OIG konkluderte med at dette misbruket undergravde CISA sin evne til å oppfylle sitt nasjonale sikkerhetsoppdrag.

Anbefalinger fra tilsynet

OIG ga flere korrigerende tiltak som CISA gikk med på å innføre:

• Definere klare kvalifikasjonsregler for retensjonsinsentiver.
• Begrense utbetalinger til kvalifiserte cybersikkerhetsstillinger.
• Forbedre journalføring for å dokumentere og spore betalinger.
• Rette opp feilaktige etterbetalinger og forhindre fremtidige brudd.

Konklusjon

Funnene om CISA sin feilslåtte cybersikkerhetsretensjon fremhever risikoen ved svak kontroll. Ved å feildisponere midler og unngå å håndheve kvalifikasjoner, sløste CISA bort millioner og satte sitt oppdrag i fare. Å innføre strenge regler, sterkere ansvar og bedre journalføring vil være avgjørende for å gjenopprette tillit og beskytte nasjonal cybersikkerhet.