El senador Ron Wyden (D-Ore.), un crítico frecuente de la tecnología y la privacidad digital, criticó duramente al director ejecutivo de UnitedHealth Group (UHG) por nombrar a un CISO que Wyden consideró “no calificado”. Wyden sostiene que esta decisión probablemente condujo a la reciente debacle del ransomware.
Wyden criticó duramente a UHG en una carta a la presidenta de la FTC, Lina Khan, y al presidente de la SEC, Gary Gensler, citando los numerosos incidentes de la compañía de atención médica que condujeron al ataque de ransomware que dejó fuera de servicio los servicios en todo Estados Unidos. Imploró a los reguladores que investigaran la falla.
Un fracaso de alto perfil involucró al CISO Stephen Martin, quien fue designado por UHG en 2023, según el senador. Wyden explicó su posición señalando que Martin nunca había ocupado un puesto específico de seguridad durante su carrera, aunque tenía experiencia avanzada en otros roles técnicos justificados.
“Si bien el señor Martin tiene décadas de experiencia trabajando en tecnología, la ciberseguridad es una especialidad que requiere conocimientos especiales”, dijo Wyden en la carta. [PDF].
“Así como no se debería contratar a un cirujano cardíaco para realizar una cirugía cerebral, ser jefe de ciberseguridad de la empresa médica más grande del mundo no debería ser el primer trabajo de ciberseguridad de alguien”.
Martin fue contratado por UHG en 2020 como vicepresidente de tecnología empresarial después de desempeñarse como director ejecutivo interino en GE Digital. En GE, también se desempeñó como director digital de GE Power y director comercial de GE Digital, según su perfil en el sitio web de Change Healthcare.
Antes de eso, Martin pasó 14 años en Microsoft desempeñando diversos roles, incluidos ciencia de datos y adquisición de clientes. Se mudó a Redmond después de muchos años desempeñando funciones de marketing en empresas de tecnología.
Pero no toda la culpa es de Martín. Wyden dijo que sería injusto culpar al CISO de todas las fallas de seguridad de la compañía, y que el CEO Andrew Whitty y la junta directiva que puso a Martin en el puesto en primer lugar deberían rendir cuentas.
La mejora de las habilidades ha sido aclamada durante mucho tiempo como una de las soluciones prometedoras a la escasez de habilidades en la industria de la ciberseguridad, pero probablemente no sea algo en lo que se pueda confiar en los niveles más altos.
Además de señalar los fallos en la contratación, Wyden también destacó que el servidor de acceso remoto que utilizó ALPHV para acceder inicialmente a la red de la empresa no contaba con MFA. Este ha sido el foco de muchos críticos desde que Whitty lo reveló en una audiencia del Comité de Finanzas del Senado el 1 de mayo, y muchos dijeron que equivalía a una negligencia de grado armamentístico.
Uno de esos críticos es Tom Kellerman, vicepresidente senior de estrategia cibernética de Contrast Security, quien anteriormente dijo a The Register: “Estoy consternado por el hecho de que no utilizaron autenticación multifactor. Estoy consternado por el hecho de que su red no estaba segmentada. También me sorprende que no llevaran a cabo ninguna búsqueda de amenazas. Francamente, creo que así fue. un gran error.”
Wyden señala además que incluso sin la MFA implementada en todos los activos de TI de UHG, la MFA probablemente no fue el único factor en la transformación de la organización de ser un simple objetivo para los ciberdelincuentes a ser atacado por ransomware. Dijo que estaba sordo.
“Solo porque un hacker obtenga acceso a un único servidor de acceso remoto, una empresa no debería poder provocar una infección de ransomware tan grave que tenga que reconstruir su infraestructura digital desde cero”, escribe el senador.
“UHG no ha revelado cómo el pirata informático obtuvo privilegios administrativos y se movió lateralmente desde el servidor inicial al resto de la infraestructura tecnológica de la empresa. Sin embargo, las mejores prácticas de ciberseguridad, especialmente para prevenir este tipo de incidentes, establecen múltiples líneas de defensa y aíslan los servidores más sensibles de su organización.
Al pedir investigaciones regulatorias exhaustivas, Wyden citó dos casos anteriores que dieron lugar a sanciones contra empresas que tenían prácticas laxas en materia de seguridad de datos.
La demanda de la FTC de 2022 contra Drizly y Chegg se utilizó como ejemplo de cuando una empresa comete un error y los clientes terminan pagando el precio. En ambos casos, el número de estadounidenses afectados fue significativamente menor que el número de afectados en el caso UHG.
La “negligencia” del director general de la plataforma de entrega de alcohol Drizly provocó la filtración de información personal de 2,5 millones de personas, mientras que cuatro errores del gigante de la tecnología educativa Chegg afectaron a 40 millones de personas.
Sin embargo, según el testimonio del senador Whitty, el incidente del ransomware Change Healthcare puede haber afectado a aproximadamente un tercio de todos los estadounidenses.
“El ciberataque a UHG podría haberse evitado si UHG hubiera seguido las mejores prácticas de la industria”, concluyó Wyden en su furiosa carta y denuncia. “El incumplimiento de las mejores prácticas por parte de UHG y los daños resultantes son responsabilidad de los altos ejecutivos de la empresa, incluidos el director ejecutivo y la junta directiva de UHG”.
“Por lo tanto, solicito a la FTC y a la SEC que investiguen las numerosas fallas tecnológicas y de ciberseguridad de UHG, determinen si violaron las leyes federales aplicables y, si es necesario, responsabilicen a estos altos funcionarios. Les insto encarecidamente a que lo hagan”.
Fuente: https://www.theregister.com/AMP/2024/05/31/ron_wyden_letter_unitedhealth/
