Kontoret for Chief Administrative Officer (CAO) – der leverer supporttjenester til amerikanske parlamentsmedlemmer fra begge parter – sendte et brev til kongressmedlemmer, der meddelte, at det havde opsagt alle kontrakter med iConstituent og godkender ikke længere platformens brug på grund af flere cybersikkerhedshændelser.
iConstituent bruges i øjeblikket af omkring 60 husmedlemmer og er designet til at lette kommunikationen mellem politikere og lokale beboere. Men i maj blev platformen ramt af et ransomware-angreb, og administrerende direktør for huset Catherine Szpindor fortalte Punchbowl News, at angrebet målrettede mod iConstituents e-nyhedsbrevssystem, som husmedlemmer køber adgang til.
Szpindor tilføjede kl. den tid, hvor ingen data fra huset var taget eller fået adgang, og det netværk, der blev brugt af huset, blev ikke berørt.
Men i et brev til husmedlemmer, der først blev opnået af CNNs Melanie Zanona, sprang CAO i iConstituent for flere sikkerhedshændelser – nogle der ikke var blevet rapporteret før – og for deres mangelfulde svar på spørgsmål fra regeringsembedsmænd.
Tirsdag blev iConstituent underrettet om, at dens kontrakter er opsagt, og at platformen ikke længere “vil have tilladelse til at levere CMS, vedligeholdelse, systemadministration eller webtjenester til huskontorer”, ifølge brevet .
Husets medlemmer har indtil den 31. december til at flytte fra iConstituent-platformen.
“CAO tager denne handling på grund af flere cybersikkerhedshændelser, der involverer iConstituent i løbet af de sidste mange år. CAO erkender, at dette vil have en væsentlig indflydelse på dit kontors aktiviteter. CAO kom ikke let til denne beslutning,” sagde brevet og tilføjede, at de ville give kongresmedlemmer hjælp til at finde erstatningssystemer.
iConstituent leverer stadig sine tjenester til kongressen, mens medlemmerne skifter til andre godkendte leverandører.
Brevet forklarer, at en del af, hvad der forårsagede annulleringen, var iConstituents svar på ransomware-angrebet i maj.
Ifølge CAO ventede iConstituent næsten en uge, før de informerede regeringsembedsmænd om ransomware-angrebet på deres e-nyhedsbrevstjeneste.
“Denne forsinkelse i underretningen var en alvorlig overtrædelse af iConstituents kontraktmæssige krav, der er designet til at beskytte oplysninger om medlemmer og bestanddele,” sagde CAO.
“CAO's bestræbelser på at få yderligere detaljer fra iConstituent siden da er blevet mødt med modstridende og inkonsekvente oplysninger, yderligere forsinkelser og en generel mangel på gennemsigtighed. Mens iConstituent har repræsenteret, at ingen husoplysninger blev påvirket som et resultat af ransomware-angrebet – og CAO har ingen beviser for at bestride denne konklusion – omstændighederne ved angrebet og iConstituents svar rejser uoprettelig tvivl om deres evne til sikkert at levere teknologitjenester til Parlamentet. “
Brevet fortsætter med at specificere flere iConstituent cybersikkerhedshændelser, herunder hændelser i juli 2013 og november 2018, hvor platformen enten “ikke kunne sikre huswebdata” eller oplevede kompromis med deres eNewsletter-platform.
Platformskompromiset skete fordi iConstituent ikke anvendte “kritiske” patches på deres system, ifølge CAO. I 2018-hændelsen blev rodadgangskoderne på flere websteder udsat for det offentligt vendte internet.
CAO sagde, at det tidligere har straffet iConstituent ved at tilbageholde betalinger og forbyde virksomheden at overtage flere medlemmer af kongressen som klienter.
“Baseret på denne seneste hændelse ser det ikke ud til, at sælgeren meningsfuldt har forbedret deres sikkerhedspraksis,” sagde CAO.
En liste over ressourcer og muligheder blev givet til husmedlemmer i slutningen af e-mailen, og administratorer lovede at kontakte hvert kontor for at hjælpe med overgangsprocessen.
På trods af de handlinger, som Parlamentet har truffet, bruges iConstituent stadig bredt på tværs af statslige regeringer i Nevada, Georgia, Hawaii og byer som Los Angeles. New York State Assembly har også en kontrakt med virksomheden om tjenester.
Sikkerhed
Kaseya ransomware angreb: Hvad du har brug for at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til privatlivets fred Cybersikkerhed 101: Beskyt dit privatliv De bedste antivirussoftware og -apps De bedste VPN'er til forretnings- og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Regering – US Security TV Data Management CXO Data Centers 