Dolandırıcılık Yönetimi ve Siber Suçlar , Sağlık Hizmetleri , Sektöre Özel
Ajanslardan Firmanın CISO’sunu ‘Günah Keçisi’ Değil, CEO ve Yönetim Kurulunu Sorumlu Tutmalarını İstedi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
31 Mayıs 2024
ABD Senatörü Ron Wyden, D-Ore., ABD Menkul Kıymetler ve Borsa Komisyonu ile Federal Ticaret Komisyonu’nu Şubat ayında UnitedHealth Group’un Change Healthcare birimine yapılan siber saldırıya ilişkin soruşturma başlatmaya çağırıyor ve kurumlardan şirketin CEO’sunu ve yönetim kurulunu sorumlu tutmalarını istiyor.
Ayrıca bakınız: 2023’te Çevrimiçi Dolandırıcılığın Gelişimi ve Boşlukları Doldurmaya Yönelik En İyi Uygulamalar
Senato Finans Komitesi başkanı Wyden, Perşembe günü SEC ve FTC’ye yazdığı bir mektupta, kurumları UnitedHealth Group’un “ihmalkar siber güvenlik uygulamalarını” incelemeye çağırdı ve Change Healthcare’e yapılan saldırının “tüketicilere, yatırımcılara ciddi zarar verdiğini” söyledi. sağlık sektörü ve ABD ulusal güvenliği.”
Wyden, “Şirket, üst düzey yöneticileri ve yönetim kurulu sorumlu tutulmalıdır” dedi.
Wyden ayrıca kurumlara dikkatlerini UnitedHealth Group CEO’su Andrew Witty ve şirketin yönetim kuruluna odaklamalarını ve olaya katkıda bulunan siber güvenlik başarısızlıklarından UnitedHealth Group CISO’su Steven Martin’e değil onları sorumlu tutmalarını tavsiye etti.
Wyden, Martin’in, UHG ve Change Healthcare’de görev yaptıktan sonra Haziran 2023’te UHG’de üst düzey siber güvenlik görevine atanmadan önce tam zamanlı bir siber güvenlik görevinde çalışmadığını söyledi.
Wyden, “UHG’nin ihmalinin ve şirketin endüstri standardı siber savunmaları benimsememesinin olası bir nedeni, şirketin üst düzey siber güvenlik yetkilisinin bu iş için vasıfsız görünmesidir” dedi.
Wyden, Martin’in teknoloji işlerinde onlarca yıllık deneyime sahip olmasına rağmen “siber güvenliğin özel uzmanlık gerektiren özel bir alan” olduğunu söyledi.
“Tıpkı bir kalp cerrahının beyin ameliyatı yapması için işe alınmaması gerektiği gibi, dünyanın en büyük sağlık şirketinin siber güvenlik sorumlusu da birinin ilk siber güvenlik işi olmamalıdır” dedi.
“Siber güvenlik konusunda önceden deneyim eksikliği nedeniyle, Bay Martin’i UHG’nin siber güvenlik kusurlarından dolayı günah keçisi yapmak haksızlık olur. Bunun yerine UHG CEO’su ve şirketin yönetim kurulu, gerekli deneyimi olmayan birini böyle bir konuma yükseltmekten sorumlu tutulmalıdır. Şirketteki önemli rolün yanı sıra şirketin temel siber savunmaları benimseme konusundaki başarısızlığı da bunda etkili oldu.”
Witty, 1 Mayıs’ta, biri Wyden’ın başkanlığını yaptığı Senato Finans Komitesi tarafından, diğeri ise Temsilciler Meclisi Enerji ve Ticaret Komitesi’nin Gözetim ve Soruşturmalar Alt Komitesi tarafından düzenlenen iki kongre duruşmasında ifade verdi (bkz.: Milletvekilleri Grill UnitedHealth Grubu CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).
Bu duruşmalar sırasında Witty, dışarıya bakan tüm sistemler için çok faktörlü kimlik doğrulamanın kullanılmasının bir UHG politikası olduğunu ancak eski teknolojileri içeren belirli durumlarda telafi edici bir faktör olarak başka güvenlik kontrollerinin de bulunduğunu ifade etti.
Wyden, “UHG’nin eski yazılım çalıştıran sunuculara yönelik MFA politikasından feragat etme yönündeki bariz kararının sonuçları artık acı verici bir şekilde açık” dedi. “Fakat UHG liderliğinin olaydan çok önce bunun kötü bir fikir olduğunu bilmesi gerekirdi.”
Wyden mektubunda FTC’ye, diğer sektörlerdeki şirketlerin, diğer siber güvenlik en iyi uygulamalarının yanı sıra MFA’yı uygulamalarını zorunlu kıldığını ve FTC’nin, kurum tarafından denetlenen finansal hizmet şirketlerinin, 2021 güncellemesinin bir parçası olarak MFA’yı benimsemelerini özellikle talep ettiğini hatırlattı. Koruma Kuralı.
Wyden, FTC’nin ayrıca alkol dağıtım platformu Drizly ve eğitim teknolojisi şirketi Chegg’e karşı 2022’deki iki vakada birçok şirketin kimlik avına karşı dayanıklı MFA kullanmasını zorunlu kıldığını söyledi.
“Her iki durumda da FTC, şirketlerin tüketicilerin kişisel bilgilerini korumak için uygun bilgi güvenliği uygulamalarını kullanmamasının, FTC Yasası’nın 5. Bölümünü ihlal eden adil olmayan bir iş uygulaması olduğuna karar verdi.”
UnitedHealth Group’tan Witty, duruşmalarda olayın potansiyel olarak ABD nüfusunun yaklaşık üçte birini etkilediğini ifade etti, ancak şu ana kadar şirket kamuya açık bir veri ihlali bildirmedi.
UnitedHealth Group Cuma günü Bilgi Güvenliği Medya Grubu’na yaptığı açıklamada, “Change Healthcare’e yönelik kötü niyetli suç saldırılarının yanı sıra sağlık sistemine yönelik yakın zamanda gerçekleşen diğer siber saldırılar, siber savunmaları güçlendirme ve dayanıklılığı güçlendirme ihtiyacının altını çiziyor.” dedi.
Açıklamada, “Güçlü, pratik çözümler geliştirilmesine yardımcı olmak için politika belirleyiciler ve diğer paydaşlarla birlikte çalışmayı sabırsızlıkla bekliyoruz. Şirketin bu saldırıya yanıt olarak hızlı ve etkili bir şekilde harekete geçmesi, şirketimizin güçlü siber güvenliğe olan bağlılığının bir kanıtıdır” dedi.
“UnitedHealth Group, siber güvenlik de dahil olmak üzere risk yönetimi konusunda etkili, geniş tabanlı becerilere sahip deneyimli bir yönetim kuruluna sahiptir. Şirketin siber güvenlik programını denetleyen Denetim ve Finans Komitesi üyeleri, siber güvenlik konusunda ve önemli ölçüde siber güvenlikle karşı karşıya olan sektörlerde faaliyet gösteren önde gelen kuruluşlarda deneyime sahiptir. riskler.”
Bir FTC sözcüsü, ajansın Wyden’in mektubunu aldığını doğruladı ancak ISMG’nin daha fazla yorum yapma talebini reddetti.
SEC, ISMG’nin Wyden’in mektubuna ilişkin yorum talebine hemen yanıt vermedi.