Das Büro des Chief Administrative Officer (CAO) – das den Mitgliedern des US-Repräsentantenhauses beider Parteien Unterstützungsdienste bietet – schickte den Mitgliedern des Kongresses einen Brief, in dem er bekannt gab, dass alle Verträge mit iConstituent und wird die Nutzung der Plattform aufgrund mehrerer Cybersicherheitsvorfälle nicht mehr autorisieren.
iConstituent wird derzeit von etwa 60 Mitgliedern des Hauses verwendet und wurde entwickelt, um die Kommunikation zwischen Politikern und Anwohnern zu erleichtern. Aber im Mai wurde die Plattform von einem Ransomware-Angriff getroffen und die Chief Administrative Officer des Repräsentantenhauses, Catherine Szpindor, sagte gegenüber Punchbowl News, dass der Angriff auf das E-Newsletter-System von iConstituent abzielte, zu dem Mitglieder des Repräsentantenhauses Zugang kaufen.
Szpindor fügte hinzu unter der Zeitpunkt, zu dem keine Daten aus dem Haus entnommen oder abgerufen wurden und das vom Haus verwendete Netzwerk nicht betroffen war.
Aber in einem Brief an Mitglieder des Repräsentantenhauses, der zuerst von Melanie Zanona von CNN erhalten wurde, griff die CAO wegen mehrerer Sicherheitsvorfälle – von denen einige noch nicht gemeldet wurden – und wegen ihrer glanzlosen Reaktion auf Fragen von Regierungsbeamten in iConstituent ein.
Am Dienstag wurde iConstituent darüber informiert, dass seine Verträge gekündigt wurden und dass die Plattform laut dem Schreiben nicht mehr “zur Bereitstellung von CMS-, Wartungs-, Systemverwaltungs- oder Webdiensten für die Büros des Hauses berechtigt ist”. .
Hausmitglieder haben bis zum 31. Dezember Zeit, die iConstituent-Plattform zu verlassen.
„Der CAO ergreift diese Maßnahme aufgrund mehrerer Cybersicherheitsvorfälle, an denen iConstituent in den letzten Jahren beteiligt war. Der CAO ist sich bewusst, dass dies die Geschäftstätigkeit Ihres Amtes erheblich beeinträchtigen wird. Der CAO ist diese Entscheidung nicht leichtfertig gefallen“, heißt es in dem Schreiben und fügte hinzu, dass sie dies tun würden Kongressmitgliedern bei der Suche nach Ersatzsystemen zu helfen.
iConstituent wird dem Kongress weiterhin seine Dienste anbieten, während die Mitglieder zu anderen zugelassenen Anbietern wechseln.
Der Brief erklärt, dass ein Teil der Absage die Reaktion von iConstituent auf den Ransomware-Angriff im Mai war.
Nach Angaben des CAO wartete iConstituent fast eine Woche, bevor er Regierungsbeamte über den Ransomware-Angriff auf seinen E-Newsletter-Dienst informierte.
“Diese Verzögerung bei der Benachrichtigung war ein schwerwiegender Verstoß gegen die vertraglichen Anforderungen von iConstituent zum Schutz der Informationen von Mitgliedern und Mitgliedsgruppen”, sagte der CAO.
„Die Bemühungen des CAO, zusätzliche Details von iConstituent zu erhalten, sind seitdem auf widersprüchliche und inkonsistente Informationen, weitere Verzögerungen und einen allgemeinen Mangel an Transparenz gestoßen. und der CAO hat keine Beweise, um diese Schlussfolgerung zu bestreiten – die Umstände des Angriffs und die Reaktion von iConstituent lassen irreparable Zweifel an ihrer Fähigkeit aufkommen, dem Repräsentantenhaus Technologiedienste sicher bereitzustellen.”
In dem Schreiben werden außerdem mehrere iConstituent-Cybersicherheitsvorfälle beschrieben, darunter im Juli 2013 und November 2018, bei denen die Plattform entweder “die Haus-Webdaten nicht sichern konnte” oder ihre eNewsletter-Plattform kompromittiert wurde.
Die Plattformkompromittierung geschah weil iConstituent laut CAO keine “kritischen” Patches auf sein System angewendet hat. Bei dem Vorfall von 2018 wurden die Root-Passwörter mehrerer Websites im öffentlichen Internet preisgegeben.
Der CAO sagte, er habe iConstituent zuvor bestraft, indem er Zahlungen zurückhielt und dem Unternehmen untersagte, weitere Kongressmitglieder als Kunden aufzunehmen.
“Basierend auf diesem jüngsten Vorfall scheint der Anbieter seine Sicherheitspraktiken immer noch nicht wesentlich verbessert zu haben”, sagte der CAO.
Am Ende der E-Mail wurde den Mitgliedern des Hauses eine Liste mit Ressourcen und Optionen zur Verfügung gestellt, und die Administratoren verpflichteten sich, jedes Büro zu kontaktieren, um beim Übergangsprozess zu helfen.
Trotz der vom Repräsentantenhaus ergriffenen Maßnahmen wird iConstituent immer noch in vielen Bundesstaaten in Nevada, Georgia, Hawaii und Städten wie Los Angeles eingesetzt. Die New York State Assembly hat auch einen Vertrag mit dem Unternehmen über Dienstleistungen.
Sicherheit
Kaseya Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN Review: Es ist billig, aber es ist es gut? Die besten Browser für Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Regierung – US-Sicherheitsfernsehdatenverwaltung CXO-Rechenzentren 