连环科技和数字隐私批评家参议员罗恩·怀登(Ron Wyden,D-OR)抨击联合健康集团(UnitedHealth Group)首席执行官任命了一名被认为“不合格”的CISO Wyden--他声称这一决定很可能导致了最近的勒索软件灾难.
怀登在致联邦贸易委员会主席莉娜·汗和美国证券交易委员会(SEC)主席加里·詹斯勒的一封信中抨击了联合健康集团,恳求监管机构调查这家医疗保健公司在勒索软件攻击导致全美服务中断之前的许多失误.
据这位参议员称,其中一个引起注意的失误与UHG于2023年任命的CISO史蒂文·马丁有关.
怀登为自己的立场辩护,指出马丁在他的职业生涯中并没有担任过安全方面的特定职位,尽管他在其他技术职位上拥有数十年的高级经验.
怀登在他的信[PDF]中说:“尽管马丁先生在技术工作方面有数十年的经验,但网络安全是一个专门领域,需要特定的专业知识.
就像心脏外科医生不应该被聘请来做脑外科手术一样,世界上最大的医疗保健公司的网络安全负责人不应该是一个人的第一份网络安全工作.
”马丁于2020年被UHG聘用,最初担任企业技术执行副总裁,此前曾在GE Digital担任代理首席执行官.
根据他在Change Healthcare网站上的个人资料,他在GE还担任过GE Power的首席数字官和GE Digital的首席商务官.
在此之前,他在微软工作了14年,在数据科学、客户获取等领域担任过多个职位.
在科技相关公司担任营销职务多年后,他搬到了雷德蒙德.
然而,并不是所有的责任都归咎于马丁.
怀登表示,将公司的所有安全缺陷都归咎于CISO是不公平的,而首席执行官安德鲁·维蒂和董事会一开始就应该为马丁的任命负责.
长期以来,提升技能一直被认为是解决网络安全行业技能短缺的更有前途的解决方案之一,但也许最高层并不依赖这种解决方案.
除了强调所谓的招聘失误,怀登还指出了远程访问服务器ALPHV缺乏MFA的问题.
ALPHV是用来初步访问公司网络的.
自从Witty在5月1日的参议院财政委员会听证会上披露了这一点以来,许多批评者都抓住了这一点,许多人认为这相当于武器级的疏忽.
对比度安全公司负责网络战略的高级副总裁汤姆·凯勒曼就是这样的批评者之一,他之前告诉The Register:“他们没有使用多因素身份验证,这让我震惊.
网络没有被细分,这让我大吃一惊.
让我大吃一惊的是,他们在知道自己已经受到威胁的情况下,没有对那个环境进行强有力的威胁搜索.
坦率地说,我认为这是严重的疏忽.
怀登接着说,即使没有在UHG的整个IT产业中部署MFA,它可能也不是唯一一个让UHG从一个仅仅成为网络罪犯攻击目标的组织,变成一个被勒索软件摧毁的组织的网络安全缺陷.
这位参议员写道,“黑客访问一个远程访问服务器不应该导致勒索软件感染如此严重,以至于公司必须从头开始重建数字基础设施.
”UHG没有透露黑客是如何获得管理特权的,并从第一台服务器横向转移到公司的其余技术基础设施.
然而,网络安全的最佳做法是拥有多道防线,并隔离组织中最敏感的服务器,特别是为了防止此类事件.
“在呼吁进行全面监管调查时,怀登指出了两个历史案例,这两个案例导致了对被发现在数据安全方面采取松懈做法的公司的制裁.
联邦贸易委员会针对Drizly和Chegg的案件--都发生在2022年--被用作公司疏忽的例子,客户后来为此付出了代价.
在这两个案例中,受影响的美国人的数量都很大 比受ULG事件影响的人数要少.
,酒精配送平台Drizly首席执行官的“粗心大意”导致250万人的个人信息曝光,而教育科技巨头Chegg的四个不同错误影响了4000万人.
然而,根据威蒂的参议院证词,Change Healthcare的勒索软件事件可能影响到大约三分之一的美国人.
怀登在结束他激动人心的信兼长篇大论时表示:“如果ULG遵循行业最佳实践,针对ULG的网络攻击本来可以避免.
”“ULG未能遵循这些最佳实践以及由此造成的伤害是包括ULG首席执行官和董事会在内的公司高级官员的责任.
“因此,我敦促联邦贸易委员会和美国证券交易委员会调查ULG的众多网络安全和技术故障,以确定您管辖范围内的任何联邦法律是否被违反,并酌情追究这些高级官员的责任." .