CISA’s fejlforvaltede cybersikkerhedsretention spilder millioner

En ny tilsynsrapport afslører CISA’s fejlforvaltede cybersikkerhedsretention. Office of the Inspector General (OIG) viste, at Cybersecurity and Infrastructure Security Agency misbrugte millioner af dollars fra sit incitamentsprogram for cybersikkerhedsretention. Mellem 2020 og 2024 undlod CISA at håndhæve berettigelsesregler, tillod forkerte udbetalinger og opretholdt ikke de krævede registreringer. Disse fejl spildte skatteborgernes penge og undergravede programmets formål: at fastholde cybersikkerhedspersonale i kritiske roller.

Hvordan programmet fejlede

OIG fandt, at CISA tildelte retentionsincitamenter på 21.000–25.000 dollars årligt til medarbejdere, der ikke kvalificerede sig. I en lønperiode i 2024 havde 240 ud af 3.220 medarbejdere, som modtog incitamenter, stillinger uden relation til cybersikkerhed. Dette var i strid med programmets regler.

Rapporten fandt også uretmæssige efterbetalinger på 1,41 millioner dollars til 348 medarbejdere. CISA’s registreringer var ufuldstændige, og Office of the Chief Human Capital Officer sikrede ikke, at udbetalingerne overholdt kravene.

Hvorfor fejlforvaltningen betyder noget

Retentionsprogrammet var udformet til at fastholde de bedste cybersikkerhedseksperter hos CISA og sikre, at agenturet kunne reagere på udviklende trusler. Fejlforvaltningen har to centrale konsekvenser:

• Skatteborgernes penge spildes, hvilket reducerer tilliden til offentlige udgifter.
• Cyberforsvarskapaciteten svækkes, da incitamenter gives til ikke-berettiget personale frem for kritiske cybersikkerhedstalenter.

OIG konkluderede, at dette misbrug underminerede CISA’s evne til at opfylde sit nationale sikkerhedsmandat.

Anbefalinger fra tilsynet

OIG fremlagde flere korrigerende tiltag, som CISA indvilgede i at gennemføre:

• Definere klare berettigelsesregler for retentionsincitamenter.
• Begrænse udbetalinger til kvalificerede cybersikkerhedsstillinger.
• Forbedre registreringer for at dokumentere og spore udbetalinger.
• Rette op på uretmæssige efterbetalinger og forhindre fremtidige overtrædelser.

Konklusion

Resultaterne om CISA’s fejlforvaltede cybersikkerhedsretention understreger risikoen ved svagt tilsyn. Ved at fejldisponere midler og undlade at håndhæve berettigelse spildte CISA millioner og satte sit mandat i fare. Indførelse af strenge regler, stærkere ansvarlighed og bedre registrering vil være afgørende for at genoprette tilliden og beskytte den nationale cybersikkerhed.