Vorgeschlagenes Gesetz soll Cyber-Personal auf Bundesebene durch Lehrstellen und Schulungen fördern

  • Falling Waters, W. Va., ist der Standort der VA’s National IT Training Academy. Der Federal Cybersecurity Workforce Expansion Act beabsichtigt, die Zahl der Cyber-Arbeitskräfte auf Bundesebene durch Ausbildungs- und Schulungsprogramme zu erhöhen. (Veteranenangelegenheiten)

    Infosec-Trainings- und Ausbildungsexperten begrüßen eine kürzlich vorgeschlagene parteiübergreifende Gesetzgebung, die, wenn sie unterzeichnet wird, die Cyber-Arbeitskräfte auf Bundesebene durch ein Ausbildungsprogramm bei der Cybersecurity and Infrastructure Security Agency (CISA) des Department of Homeland Security und ein vom Department of Veterans Affairs verwaltetes Pilot-Trainingsprogramm stärken würde.

    Ein Experte sagte jedoch, dass die Fristen, die dieses Gesetz den Agenturen einräumt, zu großzügig sind, um die kurzfristige Verstärkung der Belegschaft zu erreichen, die so dringend benötigt wird. Und Cyber-Experten, während an Bord mit dem Konzept, sagte Erfolg oder Misserfolg hängt von der Struktur des Programms.

    Ende Juni, Sens. Maggie Hassan, D-N.H., und John Cornyn, R-Texas, reichten eine vorgeschlagene parteiübergreifende Gesetzgebung ein, das Federal Cybersecurity Workforce Expansion Act, das einen neuen Abschnitt zum Homeland Security Act von 2002 hinzufügen würde, um Arbeitskräfteprogramme auf der Grundlage der Empfehlungen der Cyberspace Solarium Commission zu etablieren.

    Das Gesetz sieht vor, dass die CISA zwei Jahre Zeit erhält, um mindestens ein vom Department of Labor genehmigtes Ausbildungsprogramm einzurichten, das zu einer Vollzeit- oder Vertragsanstellung bei der Regierungsbehörde führt. Das Programm müsste sich auf die Entwicklung der besonderen Fähigkeiten konzentrieren, die erforderlich sind, um den Bedarf der CISA an Arbeitskräften zu decken, und um eine angemessene Ausbildung zu gewährleisten, wäre es der Behörde gestattet, mit “berechtigten Einrichtungen” zusammenzuarbeiten, die über Kenntnisse und Erfahrungen in der Entwicklung von Cyber-Arbeitskräften verfügen.

    In der Zwischenzeit würde der VA ein Jahr Zeit eingeräumt, um ein eigenes Pilotprogramm für ehemalige Mitglieder der Streitkräfte einzurichten, die sich im Bereich Cyber qualifizieren und in eine professionelle Infosec-Karriere wechseln wollen. Das Programm müsste mit dem NICE (National Initiative for Cybersecurity Education Cybersecurity Workforce) Rahmenwerk übereinstimmen und virtuelle Kursarbeit / Training, praktische Labore und Bewertung, und Bundesarbeits-basierte Lernmöglichkeiten umfassen.

    “Es ist aufregend zu sehen, dass die Bundesregierung die Ausbildung als eine Möglichkeit ansieht, ihre Belegschaft zu vergrößern”, sagte Tony Bryan, Geschäftsführer der in St. Louis ansässigen Ausbildungsorganisation CyberUp. “Das Modell ist ähnlich wie etwas, das ich während meiner Zeit beim Militär erlebt habe. Kurz nach dem 11. September 2001 suchten die U.S. Air Marshals nach einer Möglichkeit, ihre Belegschaft durch Veteranen in der Übergangsphase aufzustocken. Es wurde ein Programm zur Rekrutierung von Veteranen entwickelt, das erfolgreich die Lücke zwischen dem Militär und den U.S. Marshals überbrückte und einen Beschäftigungsbedarf des Bundes deckte. Wenn wir es richtig anstellen und mit den richtigen Partnern zusammenarbeiten, sollte CISA in den nächsten Jahren den gleichen Erfolg beim Ausbau seiner Belegschaft haben.”

    Mehrere Experten wiesen auf den großen Bedarf an Cybersicherheitsspezialisten im öffentlichen und privaten Sektor hin. Allerdings kämpft vor allem der erstere damit, Talente zu rekrutieren und zu halten, da er in der Regel nicht so gut zahlen kann wie Unternehmen. Aber dieses neue Gesetz würde helfen, neue Talentpools zu entwickeln.

    “Ich denke, es ist eine großartige Idee. Es ist ein innovatives Denken, das aus der Reihe tanzt”, sagte Roger Grimes, Evangelist für datengesteuerte Verteidigung bei KnowBe4. “Es ist schade, dass wir nicht schon vor 10 Jahren damit angefangen haben. Es ist eine super-einfache, offensichtliche Lösung für ein Problem, das wir haben.”

    Während Grimes zugab, dass er bei von der Regierung getragenen Lösungen vorsichtig ist und findet, dass Bundesbehörden dazu neigen können, sich zu langsam zu bewegen, sagte er, dass CISA eine bedeutende Ausnahme von der Regel ist. “Es gibt sie erst seit ein paar Jahren, aber sie ist die beeindruckendste Regierungsorganisation für Cybersicherheit, die ich mir je hätte vorstellen können.” Und die Kombination der CISA-Bemühungen mit dem Department of VA ist eine großartige “Zwei-für-Eins-Lösung”.

    In einer Zusammenfassung der Gesetzgebung wird angemerkt, dass CISA “ausreichend Vorlaufzeit für die Einrichtung des Programms forderte, damit es effektiv und nicht kurzsichtig ist, weil es in aller Eile erstellt wurde.” Dies war ein Bereich, der von mehreren Experten kritisch gesehen wurde.

    “Alles, was darauf abzielt, mehr ausgebildete Leute in [cyber] Arbeitsplätze zu bringen, ist eine gute Sache”, sagte Lamar Bailey, Senior Director of Security Research bei Tripwire. “Das Problem mit diesem Gesetz ist das Timing. CISA hat bis zu zwei Jahre Zeit, dieses Programm zu implementieren. Wir haben mehrere private Organisationen, Universitäten und Hochschulen, die bereits Programme haben. Wenn diese als ‘förderungswürdige Einrichtungen’ betrachtet werden können, dann könnte dieses Programm viel schneller umgesetzt werden.”

    Bailey teilte eine ähnliche Meinung für das vorgeschlagene Programm des Department of VA und sagte: “Der Zeitplan muss beschleunigt werden und kann in Phasen mit verschiedenen Niveaus von Trainingszertifizierungen durchgeführt werden – das wird also einen Unterschied in der näheren Zukunft machen.”

    Grimes bot seine eigene Perspektive auf das, was er hofft, dass die CISA- und VA-Programme den aufstrebenden Cyber-Profis etwas beibringen würden, sollten die Gesetze jemals den Kongress passieren und von Präsident Joe Biden unterzeichnet werden. In erster Linie würde er gerne einen Fokus auf Risikomanagement und Priorisierung sehen, einschließlich “der Betrachtung der wahrscheinlichsten Bedrohungen und der Bewältigung dieser zuerst und am besten.”

    “Die Realität ist, dass drei oder vier Arten von Angriffen heute für fast alle Angriffe auf die Computersicherheit verantwortlich sind: Social Engineering, ungepatchte Software, Schwächen bei Authentifizierungspasswörtern und Probleme bei der Fernzugriffskontrolle. Diese drei oder vier Dinge sind für fast alle Angriffe verantwortlich”, so Grimes. Das Problem bei vielen dieser Programme ist, dass sie versuchen, 200 Dinge abzudecken, und sie werden [only] 30 Minuten auf Social Engineering”, das so wichtig zu verstehen ist.

    “Wenn Sie also diese Studenten ausbilden, stellen Sie sicher, dass sie die Prinzipien des Risikomanagements verstehen – und dass sie sich nicht nur auf die Wege konzentrieren, auf denen Organisationen am wahrscheinlichsten angegriffen werden, sondern dass sie selbst auf diese Weise geschult werden. [So] dass sie mehr Zeit auf Social Engineering verwenden, dass sie mehr Zeit auf Patch-Management verwenden, dass sie mehr Zeit auf Identitätsmanagement und Authentifizierung verwenden. Denn das ist jetzt unser Problem: Wir haben eine ganze Reihe von Leuten, die super-große Generalisten sind, [but] wir brauchen wirklich eine Armee von Leuten, die sich zuerst auf die wahrscheinlichsten Bedrohungen konzentrieren.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com