米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が納税者の資金を浪費し、国家を脅威から守るという使命を危険にさらしていることが、厳しい新しい報告書で明らかになりました。
国土安全保障省(DHS)監察官室(OIG)は、2023年にCISAがサイバーインセンティブプログラムを管理不行き届きにしているというホットライン通報を受け、同庁の監査を行ったと述べています。
このプログラムは、本来退職する可能性のある「ミッションクリティカル」なサイバーセキュリティ職員を引き留めるためのインセンティブとして設計されていましたが、「広範な浪費、不正および悪用」によって損なわれていたとされています。
OIGは、CISAがミッションクリティカルな人材を維持するために連邦資金を「効率的かつ効果的に」使用していなかったと指摘しています。実際、OIGは、サイバーとは無関係の支援業務に従事する240人の職員がインセンティブ支給を受けていたことを明らかにしました。報告書によれば、これにより本来のサイバー人材の士気が低下した可能性があります。
「CISAがこのサイバーインセンティブを本来の趣旨を逸脱して広範な職員に提供し続ければ、離職やサイバー脅威への脆弱性の増加、さらには不要な支出のリスクが生じる」とOIGは述べています。
また報告書は、CISAの人事責任者(OCHCO)がプログラム受給者や支払いの記録を保持していなかったことも指摘しています。支給額は1人あたり年間21,000ドルから25,000ドルで、職員の40%以上が受給していました。2020年から始まる4年間で、CISAは1億3,800万ドル以上の連邦資金を支給しています。
さらにOIGは、CISAが参加者や支給の適格性を判断する際、連邦規則や自らの方針・手順を守っていなかったと主張しています。特に重大なのは、CISAのOCHCOが2022年から2024年にかけて、348人のサイバーインセンティブ受給者に対し、理由の説明もなく「認められていない」過去分の給与として140万ドルを支払っていたことです。
OIGの8つの勧告
OIGは報告書の中で8つの勧告を行いました。OIGはCISAに対し、次のことを求めています:
- プログラムを適格な個人のみに限定し、見直すこと
- インセンティブプログラムの対象となる業務を職員が最低限どれだけ行う必要があるか、一貫した方針と指針を策定・実施すること
- プログラム利用状況を追跡するための「正確で信頼性があり、監査可能な方法とプロセス」を導入すること
- プログラムの管理を別の部門に移管すること
- 過去分給与、適格性、離職可能性などに関する方針を更新すること
- 認められていない過去分給与の問題を解決するため、さらなる分析を行うこと
- 不適切なインセンティブ支給分の回収が適切かどうかを判断すること
- OCHCOが定期的にプログラムを見直し・監視し、目標達成とDHS方針への準拠を確保すること
CISAは8つの勧告すべてに「同意」しています。
翻訳元: https://www.infosecurity-magazine.com/news/cisa-oig-accuses-wasting-federal/