El senador Ron Wyden criticó el jueves a UnitedHealth Group (UHG) en una carta a los reguladores, exigiendo que los ejecutivos de la compañía “asuman la responsabilidad” por su negligencia relacionada con el ataque de ransomware a Change Healthcare. Les pidió que lo hicieran.
En una carta de cuatro páginas, el senador Wyden (D-Ore.) comparó el incidente con la violación de seguridad de SolarWinds y dijo que los altos directivos y la junta directiva de UnitedHealth “no tienen responsabilidad” por una serie de decisiones imprudentes. él dijo. En particular, la empresa nombró a alguien que nunca había desempeñado un puesto de ciberseguridad a tiempo completo antes de ser ascendido a director de seguridad de la información en junio de 2023.
“Una de las razones de la negligencia de UHG y de su incapacidad para implementar defensas cibernéticas estándar de la industria es que su director de ciberseguridad parece no estar calificado para el trabajo”, dijo Wyden, refiriéndose al director de información (CISO). Esteban Martín.
“El Sr. Martin claramente carece de experiencia en ciberseguridad, por lo que sería injusto echarle la culpa de las fallas de ciberseguridad de UHG. “La empresa debe ser responsable de promover a personas a puestos clave dentro de la empresa y de la falta de implementación cibernética básica de la empresa. defensas”, escribieron los senadores.
El Sr. Wyden es presidente del Comité de Finanzas, que tiene cierta jurisdicción sobre asuntos de atención médica. En la carta, pidió a la Comisión Federal de Comercio (FTC) y a la Comisión de Bolsa y Valores de Estados Unidos (SEC) que tomaran medidas contra UnitedHealth.
El director ejecutivo, Andrew Whitty, dijo al Congreso a principios de este mes que la información de un tercio de todos los estadounidenses puede haber sido robada por perpetradores de ransomware que se cree que tienen su sede en Rusia.
Wyden calificó el incidente como una catástrofe y dijo que millones de pacientes se vieron “directamente afectados” por pasar semanas sin recibir los medicamentos que necesitaban. Cientos de instituciones médicas no tuvieron más remedio que cerrar o solicitar préstamos para sobrevivir los casi dos meses que la empresa estuvo fuera de línea.
La carta dice que los ejecutivos de UnitedHealth fueron imprudentes en varios aspectos. Los piratas informáticos ingresaron a la empresa a través de un servidor de acceso remoto que no estaba protegido por autenticación multifactor (MFA). Whitty dijo que las políticas de MFA no se aplicaban en servidores que ejecutaban software antiguo.
Wyden señaló que UnitedHealth aún no ha explicado cómo los piratas informáticos pudieron acceder a un servidor y cerrar Change Healthcare Platform. Change Healthcare Platform manejó aproximadamente un tercio de los registros médicos de EE. UU. y procesó aproximadamente la mitad de las reclamaciones médicas.
Wyden citó las acciones de cumplimiento de la FTC contra la plataforma de entrega de alcohol Drizly y la empresa de tecnología educativa Chegg por violar las reglas de la FTC por “no implementar prácticas apropiadas de seguridad de la información para proteger la información personal de los consumidores”.
Para la SEC, Wyden dijo que el incidente causó un daño significativo a los inversores de UnitedHealth y a la industria de la salud en su conjunto. Wyden dijo que la controvertida demanda de la SEC contra el CISO de SolarWinds por su respuesta a un ataque de software ruso es un ejemplo de una empresa demandada por negligencia en ciberseguridad.
“Insto a la FTC y a la SEC a investigar las numerosas fallas tecnológicas y de ciberseguridad de UHG, determinar si hubo violaciones de la ley federal aplicable y responsabilizar a estos altos funcionarios según corresponda. Les solicito que lo hagan”, dijo.
La SEC no respondió a las solicitudes de comentarios y la FTC dijo que había recibido la carta pero se negó a hacer comentarios.
Para más información
futuro grabado
nube de inteligencia.
aprende más.
Fuente: https://therecord.media/unitedhealth-ciso-wyden-letter-sec-ftc