Byrån för Chief Administrative Officer (CAO) – som tillhandahåller stödtjänster till USA: s husmedlemmar från båda parter – skickade ett brev till kongressmedlemmar som meddelade att det hade sagt upp alla kontrakt med iConstituent och kommer inte längre att godkänna plattformens användning på grund av flera cybersäkerhetsincidenter.
iConstituent används för närvarande av cirka 60 husmedlemmar och utformades för att underlätta kommunikationen mellan politiker och lokala invånare. Men i maj drabbades plattformen av en ransomware-attack och administrativ chef för huset Catherine Szpindor berättade för Punchbowl News att attacken riktade sig mot iConstituents e-nyhetsbrevssystem, som kammarmedlemmar köper tillgång till.
Szpindor tillade kl. den tid som inga data från huset hade tagits eller nås och nätverket som användes av huset påverkades inte.
Men i ett brev till husmedlemmar som först erhölls av CNN: s Melanie Zanona slog CAO in iConstituent för flera säkerhetsincidenter – några som inte hade rapporterats tidigare – och för deras svaga svar på frågor från regeringstjänstemän.
På tisdag meddelades iConstituent att dess kontrakt har avslutats och att plattformen inte längre “kommer att ha tillstånd att tillhandahålla CMS, underhåll, systemadministration eller webbtjänster till huskontor”, enligt brevet. .
Husets medlemmar kommer att ha till och med den 31 december att flytta från iConstituent-plattformen.
“CAO vidtar denna åtgärd på grund av flera cybersäkerhetsincidenter som involverar iConstituent under de senaste åren. CAO erkänner att detta kommer att påverka ditt kontors verksamhet avsevärt. CAO kom inte lätt till detta beslut”, sa brevet och tillade att de skulle ge kongressmedlemmar hjälp med att hitta ersättningssystem.
iConstituent kommer fortfarande att tillhandahålla sina tjänster till kongressen medan medlemmarna övergår till andra godkända leverantörer.
I brevet förklaras att en del av det som orsakade annulleringen var iConstituents svar på ransomware-attacken i maj.
Enligt CAO väntade iConstituent nästan en vecka innan de informerade regeringstjänstemän om ransomware-attacken på deras e-nyhetsbrevtjänst.
“Denna fördröjning i anmälan var ett allvarligt brott mot iConstituents avtalsmässiga krav som syftar till att skydda information om medlemmar och beståndsdelar”, sade CAO.
“CAO: s ansträngningar för att få ytterligare information från iConstituent sedan dess har mötts med motstridig och inkonsekvent information, ytterligare förseningar och en övergripande brist på transparens. Medan iConstituent har visat att ingen husinformation påverkades till följd av ransomware-attacken – och CAO har inga bevis för att bestrida denna slutsats – omständigheterna för attacken och iConstituents svar väcker irreparabla tvivel om deras förmåga att säkert leverera teknologitjänster till kammaren. “
I brevet beskrivs flera iConstituent cybersäkerhetsincidenter, inklusive sådana i juli 2013 och november 2018 där plattformen antingen “misslyckades med att säkra huswebdata” eller upplevde kompromisser med deras eNewsletter-plattform.
Plattformskompromissen hände eftersom iConstituent inte använde “kritiska” lappar på sitt system, enligt CAO. I incidenten 2018 exponerades rotlösenorden för flera webbplatser för det offentliga internet.
CAO sa att det tidigare straffat iConstituent genom att hålla tillbaka betalningar och förbjuda företaget att ta fler medlemmar av kongressen som kunder.
“Baserat på den senaste händelsen verkar säljaren fortfarande inte ha förbättrat sin säkerhetspraxis meningsfullt”, säger CAO.
En lista med resurser och alternativ tillhandahölls husmedlemmarna i slutet av e-postmeddelandet och administratörer lovade att kontakta varje kontor för att hjälpa till med övergångsprocessen.
Trots de handlingar som vidtagits av huset används iConstituent fortfarande i stor utsträckning över statliga regeringar i Nevada, Georgia, Hawaii och städer som Los Angeles. New York State Assembly har också ett avtal med företaget om tjänster.
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det är bra? De bästa webbläsarna för sekretess Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN-tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar fler attacker (ZDNet YouTube)
Relaterade ämnen :
Regeringen – USA: s säkerhets-TV-datahantering CXO-datacenter 