O senador americano Ron Wyden (democrata pelo ORegon) publicou hoje uma carta dirigida aos reguladores americanos, na qual acusa o UnitedHealth Group de ter nomeado como CISO um profissional sem a experiência necessária. Wyden pede que os líderes da empresa “sejam responsabilizados” pela negligência ligada ao ataque de ransomware à subsidiária Change Healthcare, que interrompeu perto de metade de todas as transações do setor médico dos EUA.
Na carta de quatro páginas, Wyden comparou o incidente ao comprometimento da SolarWinds e disse que os executivos sêniores e o conselho de administração da UnitedHealth “devem ser responsabilizados” por uma série de decisões imprudentes – principalmente ter um líder de segurança da informação que não havia trabalhado em uma função de segurança cibernética em tempo integral antes de ser promovido ao cargo em junho de 2023.
“Uma razão provável para a negligência da UHG e para o fracasso da empresa em adotar defesas cibernéticas padrão da indústria é que o principal funcionário de segurança cibernética da empresa parece não estar qualificado para o trabalho”, disse Wyden, referindo-se ao CISO Steven Martin.
“Devido à sua aparente falta de experiência anterior em segurança cibernética, seria injusto usar o Sr. Martin como bode expiatório pelos lapsos de segurança cibernética do UHG. Em vez disso, o CEO da UHG e o conselho de administração da empresa deveriam ser responsabilizados por elevar alguém sem a experiência necessária a um cargo tão importante na empresa, bem como pela falha da empresa em adotar defesas cibernéticas básicas”, escreveu o senador.
Wyden é presidente do Comitê Financeiro, que tem alguma jurisdição sobre questões de saúde. Na carta, ele instou a Comissão Federal de Comércio (FTC) e a Comissão de Valores Mobiliários dos EUA (SEC) a tomarem medidas contra a UnitedHealth.
O CEO Andrew Witty disse ao Congresso no início deste mês que um terço de todos os americanos pode ter tido informações roubadas pelos atores do ransomware, que se acredita estarem baseados na Rússia .
Wyden classificou o incidente como um desastre e disse que os pacientes “foram diretamente prejudicados” – com milhões de pessoas passando semanas sem medicação extremamente necessária . Centenas de fornecedores tiveram que fechar ou contrair empréstimos para sobreviver ao período de quase dois meses que a empresa passou off-line.
Fonte: CisoAdvisor
