UHG CEO Andrew Witty 在参议院听证会上应对网络攻击危机

关键要点

• UHG CEO 安德鲁·维提在参议院金融委员会听证会上透露将提供两年免费信用和身份盗窃保护。
• 参议员朗·怀登批评这种回应方式为“无效的慰问”。
• UHG 仍未在规定时间内通知受影响消费者，造成公众担忧。
• 各方对UHG的网络安全问题特别是缺乏多因素认证表示质疑。

在5月1日，UnitedHealth Group (UHG) 的 CEO安德鲁·维提在的听证会上面临了一场严峻的审视。在关于 ransomware事件的近两个小时的听证会上，维提不断向两党参议员们重申，UHG 将为消费者提供两年免费的信用和身份盗窃保护，这也已经成为网络攻击后企业 CEO的标准回应之一。

参议院金融委员会主席朗·怀登（D-Ore.）对维提不断重复的信贷支持表示不满，评论道：“信用监控是数据泄露的‘祈祷与祝福’，这种做法绝对无效。”

当被参议员询问 UHG将在何时通知消费者该公司是否遭到攻击时，维提表示，公司的通知将“尽快”进行。维提称，调查人员花费了将近一个月的时间来确定被提取的数据，并且他们正在与监管机构紧密合作，以便正确地向消费者提供信息。

新罕布什尔州的参议员玛吉·哈桑（D-N.H.）指出，勒索软件攻击发生在2月21日，而根据《健康保险流动性与责任法案》(HIPAA) 的规定，UHG应该在4月21日之前向消费者发送通知。哈桑表示，公众需要书面通知，以便能够监控其银行账户、修改密码并利用 UHG 的无息贷款计划。

“现在是5月1日，”哈桑表示，“对数百万美国人来说，十周的时间太长了，他们还不知道自己的记录可能已被犯罪分子获取。”

在听证会的一些紧张时刻，怀登追问维提是否个人了解被黑的 Citrix 服务器缺乏多因素认证(MFA)。以下是两人的对话：

怀登: 关于个人责任，你的态度一直模糊不清。你不断低估自己的角色。你的网络安全负责人上周告诉过我们这些。我们仍然需要知道你是否知道服务器没有 MFA。

维提: 关于 Change 的服务器吗？

怀登: 是的。

维提: 绝对不知道。

怀登: 为什么不知道？

维提: 由于 Change Healthcare 最近刚刚加入该组织，因此正在进行升级。

怀登: 为什么这不是你首先应该做的？

维提: 我了解到，Change 加入组织时，需要进行大量现代化工作，而很不幸也非常令人沮丧的是，这台服务器在攻击前并没有配置 MFA。

怀登: 但是你来了之后应该说，‘我们必须解决这个问题’，这可不是一个抽象的问题。

共和党参议员们也对 UHG 应对攻击的措施进行质疑。

北卡罗来纳州参议员汤姆·蒂利斯（R-N.C.）询问维提，UHG 的内部或外部审计团队是否将缺失的 MFA确定为主要风险因素，蒂利斯希望确认是否有记录被认为是可执行事项，并声称如果有这样文件，值得将其列入官方国会记录。

蒂利斯对IT行业有经验，还对维提提出了冗余性的问题，表示从旧系统切换到新系统的过程并不顺利，信息应该在审核中包含。

“当我在参议院武装服务委员会任职时，每当发生网络攻击，我都会带上《傻瓜版黑客手册