En ny granskningsrapport avslöjar CISA:s misskötta cybersäkerhetsretention. Office of the Inspector General (OIG) visade att Cybersecurity and Infrastructure Security Agency missbrukade miljoner dollar från sitt incitamentsprogram för cybersäkerhetsretention. Mellan 2020 och 2024 misslyckades CISA med att upprätthålla behörighetsregler, tillät felaktiga utbetalningar och underhöll inte de nödvändiga registren. Dessa misslyckanden slösade bort skattebetalarnas pengar och undergrävde programmets syfte: att behålla cybersäkerhetspersonal i kritiska roller.

Hur programmet misslyckades

OIG fann att CISA beviljade retentionsincitament på 21 000–25 000 dollar årligen till anställda som inte kvalificerade sig. Under en löneperiod 2024 hade 240 av 3 220 anställda som fick incitament jobb som inte var relaterade till cybersäkerhet. Detta bröt mot programmets regler.

Rapporten fann också otillåtna retroaktiva betalningar på 1,41 miljoner dollar till 348 anställda. CISA:s registerföring var ofullständig, och Office of the Chief Human Capital Officer misslyckades med att säkerställa att betalningar följde kraven.

Varför misskötseln spelar roll

Retentionsprogrammet var utformat för att behålla de bästa cybersäkerhetsexperterna på CISA och säkerställa att myndigheten kunde svara på utvecklande hot. Misskötseln har två centrala konsekvenser:

  • Skattebetalarnas pengar slösas bort, vilket minskar förtroendet för statliga utgifter.
  • Försvarskapaciteten mot cyberhot försvagas eftersom incitament ges till obehörig personal istället för till kritisk cybersäkerhetstalang.

OIG drog slutsatsen att detta missbruk underminerade CISA:s förmåga att uppfylla sitt nationella säkerhetsuppdrag.

Rekommendationer från granskarna

OIG gav flera korrigerande åtgärder som CISA gick med på att införa:

  • Definiera tydliga behörighetsregler för retentionsincitament.
  • Begränsa betalningar till kvalificerade cybersäkerhetspositioner.
  • Förbättra registerföringen för att dokumentera och spåra betalningar.
  • Åtgärda felaktiga retroaktiva betalningar och förhindra framtida överträdelser.

Slutsats

Resultaten kring CISA:s misskötta cybersäkerhetsretention belyser riskerna med svag tillsyn. Genom att felaktigt fördela medel och inte upprätthålla behörighet slösade CISA bort miljoner och äventyrade sitt uppdrag. Att införa strikta regler, starkare ansvar och bättre registerföring blir avgörande för att återställa förtroendet och skydda nationens cybersäkerhet.


0 svar till ”CISA:s misskötta cybersäkerhetsretention slösar bort miljoner”