.
O crítico serial de tecnologia e privacidade digital, senador Ron Wyden (D-OR), criticou o CEO do UnitedHealth Group (UHG) por nomear um CISO Wyden considerado “não qualificado” – uma decisão que ele afirma que provavelmente levou à catástrofe do ransomware recentemente.
Wyden criticou o UHG em uma carta enviada a Lina Khan e Gary Gensler, presidentes da FTC e da SEC respectivamente, implorando aos reguladores que investigassem as muitas falhas da empresa de saúde que levaram ao ataque de ransomware que derrubou serviços nos EUA.
Uma falha que chamou a atenção, segundo o senador, teve a ver com Steven Martin, o CISO nomeado pela UHG em 2023. Wyden justificou sua postura apontando que Martin não ocupou uma função específica de segurança durante sua carreira, apesar sua experiência de alto nível em outras funções de tecnologia.
“Embora o Sr. Martin tenha décadas de experiência em empregos de tecnologia, a segurança cibernética é um campo especializado, que requer conhecimentos específicos”, disse Wyden em sua carta. [PDF].
“Assim como um cirurgião cardíaco não deve ser contratado para realizar uma cirurgia cerebral, o chefe de segurança cibernética da maior empresa de saúde do mundo não deve ser o primeiro trabalho de segurança cibernética de alguém”.
Martin foi contratado pela UHG em 2020, originalmente como vice-presidente executivo de tecnologia empresarial, após ocupar anteriormente o cargo de CEO interino na GE Digital. De acordo com seu perfil no site da Change Healthcare, na GE ele também trabalhou como diretor digital da GE Power e diretor comercial da GE Digital.
Antes disso, Martin passou 14 anos na Microsoft trabalhando em diversas funções em ciência de dados, aquisição de clientes e muito mais. Ele se mudou para Redmond depois de passar anos em cargos de marketing em empresas relacionadas à tecnologia.
Porém, nem toda a culpa está sendo colocada em Martin. Wyden disse que seria injusto usar o CISO como bode expiatório por todas as falhas de segurança da empresa e que a culpa deveria recair sobre o CEO Andrew Witty e o conselho por colocar Martin lá em primeiro lugar.
A melhoria de competências tem sido aclamada há muito tempo como uma das soluções mais promissoras para a escassez de competências na indústria da cibersegurança, mas talvez não seja algo em que se possa confiar ao mais alto nível.
Além de destacar a suposta gafe de recrutamento, Wyden também fez questão de trazer à tona a falta de MFA no servidor de acesso remoto que a ALPHV usou para obter acesso inicial à rede da empresa. É algo que muitos críticos se agarraram desde que Witty o revelou numa audiência da Comissão de Finanças do Senado, em 1 de Maio, e muitos acreditam que é equivalente a negligência de nível militar.
Um desses críticos é Tom Kellermann, vice-presidente sênior de estratégia cibernética da Contrast Security, que disse anteriormente O registro: “Estou impressionado com o fato de que eles não estavam usando autenticação multifatorial. Estou impressionado com o fato de as redes não terem sido segmentadas. E estou impressionado com o fato de eles não terem conduzido uma caça às ameaças de forma robusta em esse ambiente sabendo que eles foram comprometidos, eu acho que é uma negligência flagrante, francamente.”
Wyden prosseguiu dizendo que mesmo com a MFA não sendo implantada em todo o patrimônio de TI da UHG, provavelmente não é a única falha de segurança cibernética que a transformou de uma organização meramente alvo de cibercriminosos para uma que foi atingida por ransomware.
“Os hackers que obtêm acesso a um servidor de acesso remoto não devem resultar em uma infecção de ransomware tão grave que a empresa precise reconstruir sua infraestrutura digital do zero”, escreveu o senador.
“A UHG não revelou como os hackers obtiveram privilégios administrativos e se moveram lateralmente daquele primeiro servidor para o restante da infraestrutura tecnológica da empresa. No entanto, as melhores práticas de segurança cibernética são ter múltiplas linhas de defesa e isolar os servidores mais sensíveis em um organização, especificamente para prevenir este tipo de incidente.”
Ao apelar a uma investigação regulamentar completa, Wyden apontou dois casos históricos que levaram a sanções contra empresas que se descobriu terem adoptado uma abordagem negligente à segurança de dados.
Os casos da FTC contra Drizly e Chegg – ambos em 2022 – foram usados como exemplos do que acontece com empresas que demonstram negligência pela qual os seus clientes pagam posteriormente o preço. Em ambos os casos, o número de americanos afectados foi substancialmente menor do que o número afectado pelo incidente do UHG.
O “descuido” do CEO da plataforma de entrega de álcool Drizly levou à exposição de informações pessoais de 2,5 milhões de indivíduos, enquanto os quatro erros separados da gigante da tecnologia educacional Chegg afetaram 40 milhões.
O incidente de ransomware da Change Healthcare, no entanto, de acordo com o depoimento de Witty no Senado, afetou potencialmente cerca de um terço de todos os americanos.
“O ataque cibernético contra o UHG poderia ter sido evitado se o UHG tivesse seguido as melhores práticas da indústria”, disse Wyden, concluindo sua empolgante carta e discurso. “O fracasso da UHG em seguir essas melhores práticas e os danos resultantes são de responsabilidade dos altos funcionários da empresa, incluindo o CEO e o conselho de administração da UHG.
“Assim, peço à FTC e à SEC que investiguem as inúmeras falhas de segurança cibernética e tecnológica do UHG, para determinar se alguma lei federal sob sua jurisdição foi violada e, conforme apropriado, responsabilizem esses altos funcionários.” ®
.
