Budżetowy impas w Stanach Zjednoczonych sparaliżował jedną z najważniejszych instytucji odpowiedzialnych za bezpieczeństwo cyfrowe. W wyniku federalnego shutdownu agencja CISA straciła dwie trzecie personelu, a jednocześnie wygasła ustawa regulująca współpracę z sektorem prywatnym. W efekcie amerykańska cyberobrona została poważnie osłabiona w chwili, gdy liczba ataków na infrastrukturę krytyczną rośnie z miesiąca na miesiąc.
Według danych Departamentu Bezpieczeństwa Wewnętrznego (DHS), w wyniku zawieszenia finansowania w pracy pozostała zaledwie jedna trzecia personelu CISA. Oznacza to, iż najważniejsze działania w zakresie reagowania na incydenty, monitoringu infrastruktury i współpracy z sektorem prywatnym są w tej chwili realizowane przez minimalnie obsadzone zespoły. Co więcej, pozostałym pracownikom agencji nie wypłaca się pensji do czasu zakończenia budżetowego impasu.
Sytuację dodatkowo pogarsza fakt, iż w tym samym czasie wygasła ustawa Cybersecurity Information Sharing Act z 2015 roku, zapewniająca firmom prywatnym prawne bezpieczeństwo przy dzieleniu się informacjami o cyberzagrożeniach z agencjami federalnymi. Bez tej osłony przedsiębiorstwa mogą wstrzymywać raportowanie o incydentach, obawiając się konsekwencji prawnych i utraty poufnych danych.
Agencja bez kadr i bez wsparcia
CISA powstała w 2007 roku w ramach Departamentu Bezpieczeństwa Wewnętrznego. Jej zadaniem jest koordynacja obrony cyfrowej w administracji federalnej oraz kooperacja z operatorami infrastruktury krytycznej, od sieci energetycznych po systemy łączności i rurociągi. Agencja pełni również funkcję centrum wymiany informacji o nowych podatnościach i zagrożeniach, a jej komunikaty bezpieczeństwa są podstawą działań wielu firm i samorządów.
Jeszcze przed obecnym shutdownem CISA zmagała się z poważnymi problemami kadrowymi i politycznymi. Od stycznia 2025 roku, kiedy nowa administracja prezydencka objęła władzę, agencję opuściło około 1 000 pracowników, w tym większość kadry kierowniczej. Jak wynika z danych przedstawionych przez Richarda Forno z Uniwersytetu Maryland w Baltimore County, niemal cała wyższa kadra CISA złożyła rezygnacje do końca maja 2025 roku.
Projekt budżetu federalnego na rok 2026 przewiduje kolejne redukcje, tym razem o jedną trzecią etatów w działach zarządzania ryzykiem i współpracy z partnerami zewnętrznymi. Oznacza to drastyczne ograniczenie działań edukacyjnych, programów szkoleniowych oraz współpracy z samorządami i sektorem prywatnym.
Cięcia i brak stabilnego finansowania zagrażają nie tylko bieżącym operacjom, ale także przyszłości amerykańskiego systemu obrony cyfrowej. Ograniczenia obejmują między innymi program Scholarship for Service, który od lat kształci specjalistów ds. cyberbezpieczeństwa dla instytucji publicznych. Według planów administracji jego budżet ma zostać zmniejszony o ponad 60%, co może zahamować dopływ nowych kadr do sektora publicznego.
CVE jednak przetrwa – CISA przedłuża finansowanie, powstaje też niezależna fundacja
Polityka kontra bezpieczeństwo
Choć CISA oficjalnie zachowuje neutralność polityczną, jej działalność stała się przedmiotem ostrych sporów partyjnych. Część polityków zarzuca agencji stronniczość, szczególnie po tym, jak w 2020 roku uznała wybory prezydenckie za „najbezpieczniejsze w historii”. Dla niektórych środowisk była to deklaracja polityczna, a nie techniczna.
Od tamtego momentu agencja stała się łatwym celem politycznych ataków i redukcji budżetowych. Ich efekty widać dziś w sytuacji, gdy CISA ma chronić krajową infrastrukturę przed zaawansowanymi kampaniami hakerskimi, od chińskiego ataku Salt Typhoon na sieci telekomunikacyjne po eskalację globalnych kampanii ransomware.
Obecne zamrożenie prac federalnych stworzyło dodatkową lukę bezpieczeństwa. Według Forno, okresy takiego osłabienia instytucji państwowych to momenty, w których cyberprzestępcy najchętniej testują odporność systemów. Brak pełnej obsady w centrach monitoringu i opóźnienia w analizie incydentów oznaczają dłuższy czas reakcji, a w praktyce, większe ryzyko utraty danych lub zakłócenia pracy infrastruktury krytycznej.
Gospodarka bez parasola ochronnego
Wygaśnięcie ustawy o współdzieleniu informacji z 2015 roku to szczególnie dotkliwy cios dla amerykańskiego sektora prywatnego. Do tej pory CISA zapewniała przedsiębiorstwom prawne bezpieczeństwo przy przekazywaniu rządowi informacji o atakach, które mogły mieć znaczenie dla bezpieczeństwa narodowego.
Obecnie takie przekazywanie danych obarczone jest ryzykiem prawnym i wymaga każdorazowej analizy przez działy prawne firm. W praktyce oznacza to spowolnienie lub wstrzymanie wymiany informacji, co z kolei utrudnia CISA tworzenie kompleksowego obrazu sytuacji cybernetycznej w kraju.
Z perspektywy gospodarczej to poważny problem. W 2024 roku w ramach publiczno-prywatnych inicjatyw CISA współpracowała z ponad 400 przedsiębiorstwami z sektora energetyki, transportu i telekomunikacji. Dziś wiele z nich deklaruje, iż bez formalnych gwarancji prawnych nie może kontynuować współpracy w dotychczasowym zakresie.
Brak odporności systemowej
Shutdown, kryzys kadrowy i wygasłe regulacje złożyły się na moment, w którym amerykańska cyberobrona znalazła się w najtrudniejszej sytuacji od dekady. Problem ma charakter systemowy, ponieważ dotyka nie tylko budżetu, ale również ciągłości działania i stabilności zaufania między sektorem publicznym a prywatnym.
Richard Forno w swoim komentarzu zwraca uwagę, iż cyberbezpieczeństwo nie podlega pauzie administracyjnej. choćby w czasie rządowych przestojów zagrożenia nie znikają. Przeciwnie, grupy hakerskie wykorzystują momenty osłabienia struktur państwowych, gdy procesy decyzyjne są spowolnione, a komunikacja między agencjami ograniczona.
Ekspert wskazuje również możliwe kierunki naprawy systemu. Jednym z nich mogłoby być zapewnienie CISA i innym kluczowym agencjom bezpieczeństwa niezależności budżetowej od cyklu politycznego, na przykład poprzez dwuletnie budżetowanie, stosowane już w 16 stanach USA. Innym rozwiązaniem mogłoby być rozwijanie pozarządowych sieci wymiany informacji o zagrożeniach, takich jak Cyber Threat Alliance czy Center for Internet Security, które nie są w pełni zależne od finansowania federalnego.
USA zmieniają podejście do cyberwojny – Google szykuje własną jednostkę do cyberkontrataków
Ironia kalendarza
Paradoksalnie, federalny shutdown i paraliż CISA zbiegły się w czasie z rozpoczęciem National Cybersecurity Awareness Month, ogólnokrajowej inicjatywy edukacyjnej, której celem jest podnoszenie świadomości obywateli w zakresie ochrony danych i bezpieczeństwa cyfrowego.
W tym roku trudno jednak mówić o świętowaniu. Symbolicznie, kampania uświadamiająca rozpoczęła się w momencie, gdy instytucja ją koordynująca nie jest w stanie w pełni funkcjonować. To kolejny przykład, jak napięcia polityczne i brak stabilności budżetowej mogą podważać zaufanie obywateli do państwowych systemów bezpieczeństwa, nie tylko w sieci.
Sygnał ostrzegawczy
Obecny kryzys w CISA jest sygnałem ostrzegawczym dla całego zachodniego świata. Pokazuje, iż choćby najbardziej rozwinięte państwo nie jest odporne na skutki politycznego paraliżu, jeżeli nie zapewni kluczowym instytucjom minimalnej ciągłości działania. W erze, w której cyberataki stanowią jedno z głównych zagrożeń dla gospodarki i infrastruktury, państwowa agencja bezpieczeństwa nie może być zakładnikiem budżetowych negocjacji.
Z perspektywy partnerów USA, w tym Unii Europejskiej i NATO, sytuacja ta rodzi dodatkowe ryzyka. Wspólne programy wymiany informacji o cyberzagrożeniach z amerykańskimi agencjami, w tym właśnie CISA, mogą zostać zakłócone. Oznacza to mniejszą koordynację w zakresie detekcji i reagowania na ataki transgraniczne.
Kryzys CISA to więc nie tylko amerykański problem administracyjny, ale realne osłabienie globalnego ekosystemu bezpieczeństwa cyfrowego.
