美国网络安全和基础设施安全局(CISA)近期因其名为网络激励计划的项目管理不善,被联邦监察办公室(OIG)审计揭露出重大管理问题。该计划旨在通过经济奖励留住具备高端技能的网络安全专业人才,然而由于管理漏洞,CISA却将每年超过2万美元的奖金支付给了大量不符资格的员工。此次审计报告不仅揭示了该项目存在"欺诈、浪费和滥用"现象,也对CISA整体保护国家网络安全的能力提出了严峻质疑。网络激励计划最初于2015年在国家保护和项目指导局(NPPD)设立,后于2018年归入新成立的CISA管辖。该计划的初衷是奖励那些具备关键网络安全资格的员工,帮助机构应对愈发严峻的网络威胁环境。然而,审计指出,仅从2020至2024财政年度,CISA就向348名不符合资格的员工支付了约141万美元不当奖金,整个计划期间发放的奖金总额超过1.38亿美元。
审计特别提到,在2024年某一支付周期内,约44%的CISA员工(共计1401人)获得了网络激励奖金。令人诧异的是,其中有240名仅担任支持性岗位且职责与网络安全无关的员工,同样收到了这类奖金。根据联邦规定以及国家标准与技术研究院(NIST)的定义,符合奖金资格的员工需具备明确的网络安全职责或持有CISA认可的专业证书。不符合此标准的支持岗位人员原本理应排除在外。审计报告强调,CISA未能严格限定奖金对象,且部门间缺乏统一的行政管理,导致发放过程缺乏必要的监控和审查机制。CISA人力资源部门承认,缺少详细的工作流程和监控手段,难以确保资金流向符合规定的员工。
此外,HR部门未能妥善维护发放记录与收款人员名单,进一步加剧监督难度。该审计报告反映出CISA在网络人才管理方面的系统性失误。由于缺乏明确的政策执行框架,激励计划的初衷被大幅稀释,甚至可能适得其反,加剧关键岗位人才流失,损害机构网络防御效能。审计还指出,CISA去年面临严重人员流失和士气低迷问题。此种情况若持续,将使国家网络安全面临更大风险。报告建议CISA认真修订激励计划管理规则,明确资格标准,建立控制和监督机制,切实保障资金合理使用并提高项目透明度。
目前,CISA对报告提出的八项改进建议已全部表示认同。唯一较为明确的处理措施是开始着手纠正工资差错,并计划追回误发费用。但多数改进计划尚未正式公布具体执行时间表。CISA代理执行主任Madhu Gottumukkala在接受媒体采访时承诺,将致力于完善网络激励计划,确保激励措施精准发放于关键人才,以推动机构使命有效完成及纳税人资金合理运用。总体而言,此次审计暴露出的管理混乱和制度缺陷,不仅为CISA敲响警钟,也提醒整个美国网络安全体系必须对人才激励机制进行彻底反思与改革。面对日益复杂严峻的网络环境,只有建立科学、规范、透明的人才管理和激励体系,才能有效吸引并留住顶尖网络安全人才,保障国家关键数字基础设施免受威胁。
未来CISA需加速落实改进措施,强化内部监管,提升项目执行效率与公信力,避免类似事件重演。此事件同时引发外界对政府网络安全机构管理能力的担忧,强调了强化合规操作和优化资源配置的重要性。随着网络安全威胁不断升级,人才作为防护最核心的资产,其管理的专业性和严谨性更显关键。对于公众和政策制定者而言,关注此类审计结果,有助于推动网络安全治理体系向更加完善和透明方向发展。唯有如此,才能筑牢国家网络防线,保障数字经济与社会稳定。 。
