Gyengülő kiberbiztonság az erőforrások apadása miatt
Különösen fontos kiemelni, hogy a CFPB informatikai védelmi érettsége két szintet is visszaesett: a korábbi, jól menedzselt és mérhető (4-es szintű) biztonsági szintről már csupán 2-es, alapvető szintre esett vissza. Ez főként a rendszerszintű engedélyezési folyamatok hiányosságaiból és a kiberbiztonsági kockázati profilok elkészítésének elmaradásából ered.
A kiberbiztonsági kockázati profilok meghatározzák, hogy az egyes alrendszereknek milyen veszélyforrásokkal kell szembenézniük, és ez mit jelent a gyakorlatban a szervezet céljai és szabályzatai szempontjából. Mégis, a CFPB nem alkalmazza ezeket a profilokat, így nem tudja pontosan meghatározni és kommunikálni a biztonsági célokat és hiányosságokat sem.
Engedélyezés kaotikus állapotban
A legutóbbi ellenőrzés során 35 olyan rendszert találtak, amelyeknél vagy lejárt a működési engedély, vagy sosem estek át hivatalos engedélyezési folyamaton. Ebből 21 rendszernél csak kockázatvállalási nyilatkozat (RAM) készült, de nem rendelkeztek hivatalos engedéllyel. Ilyen esetekben hiányoznak a folyamatos biztonsági vizsgálatok és a megbízható kockázatértékelések, így a rendszer biztonsága messze elmarad a megfelelő szinttől.
A CFPB emellett több elavult, támogatás nélküli szoftvert is tudatosan használ, mégsem tesz lépéseket – a figyelmeztetések ellenére sem – a hosszabbított támogatás vagy a cserék ügyében. Egy szoftver például 2024-ben éri el életciklusa végét, mégis tovább működtetik.
Szűkülő emberi és anyagi források
A kiberbiztonsági hanyatlás hátterében alapvetően a forráskivonás áll. A megbízott szakértők és alkalmazottak száma drasztikusan csökkent: 2025 elején a biztonsági programot támogató állomány 66 százaléka volt külsős, 2025 februárjára már csak 25 százalék. Ez főként annak köszönhető, hogy több feladatot megszüntettek, a külsős vállalkozókat elbocsátották, és a kormányzati alkalmazottak is távoztak. Azóta sem sikerült teljes létszámban pótolni a kiesőket, bár dolgoznak a szervezeten belüli átcsoportosításon.
A helyzetet súlyosbítja, hogy Trump elnöksége alatt bejelentették: a CFPB munkaerejét mintegy 90 százalékkal, 1500 fővel csökkentik, mert az ügynökséget túlzott szabályozási teherrel és költséggel vádolták. Hasonló elbocsátások történtek más kiberbiztonsági szervezeteknél is, mint a CISA-nál, ami általános biztonsági gyengülést eredményezett.
Vita a kockázatok kezeléséről
A CFPB a jelentés legtöbb megállapításával egyetértett, de több ponton vitába szállt az ellenőrökkel: szerintük a kockázatnyilvántartásuk valójában létezik, továbbá több rendszer nagyon alacsony kockázatú, és nem tartalmaz érzékeny adatokat. Az ellenőrök szerint viszont a legtöbb rendszer közepes kockázati besorolású, és több szerver tartalmaz érzékeny adatokat is.
Mindezek alapján megállapítható, hogy a jelenlegi leépítések, a gyenge engedélyezési gyakorlat és az elavult szoftverek használata miatt a CFPB kiberbiztonsági helyzete jelentősen meggyengült, ami komoly veszélyt jelent a bizalmas adatok védelmére.
