Kesehatan Net Federal Services (HNFS) dan perusahaan induknya, Centene Corporation, telah sepakat untuk membayar $ 11.253.400 untuk menyelesaikan tuduhan bahwa HNFS secara keliru bersertifikat kepatuhan dengan persyaratan cybersecurity di bawah kontrak Tricare Badan Kesehatan Pertahanan (DHA).
Pemerintah AS mengontrak HNFS untuk menyediakan layanan dukungan perawatan kesehatan yang dikelola untuk Wilayah Utara Tricare, yang mencakup 22 negara bagian.
Kontrak membutuhkan kepatuhan dengan standar keamanan siber, khususnya 48 CFR § 252.204-7012 dan 51 kontrol keamanan dari Publikasi Khusus NIST 800-53 (Kontrol keamanan dan privasi untuk sistem dan organisasi informasi federal).
Menurut a Pengumuman Departemen Kehakiman ASAntara 2015 dan 2018, HNFS diduga gagal menerapkan langkah -langkah keamanan siber yang diperlukan sambil memberikan tunjangan kesehatan untuk anggota dinas militer Amerika dan keluarga mereka.
Pada saat yang sama, DOJ mengklaim kepatuhan HNFS secara keliru dalam laporan mereka kepada DHA, membuatnya tampak seolah -olah mereka secara memadai melindungi data orang, meskipun mereka tidak melakukannya.
Secara khusus, HNFS gagal mengambil langkah -langkah berikut:
- Pindai kerentanan n-hari dalam sistemnya dan menerapkan perbaikan tepat waktu.
- Pertimbangkan temuan laporan audit yang menyoroti risiko keamanan siber dan mengambil tindakan untuk memulihkannya.
- Menerapkan manajemen aset standar industri, kontrol akses, perlindungan firewall, dan manajemen tambalan.
- Hindari menggunakan perangkat keras dan perangkat lunak yang sudah ketinggalan zaman.
- Ikuti kebijakan kata sandi akun yang kuat.
Di Dokumen Perjanjian PenyelesaianNegara Bagian AS menjelaskan bahwa HNFS secara keliru membuktikan kepatuhan pada setidaknya tiga kesempatan: pada 17 November 2015, pada 26 Februari 2016, dan pada 24 Februari 2017.
HNFS dan Centene menyangkal semua tuduhan dan menyatakan bahwa tidak ada data yang melanggar atau kehilangan informasi yang dapat dipertimbangkan. Namun, mereka masih setuju untuk membayar $ 11.253.400 untuk menyelesaikan tuduhan tersebut.
Dokumen hukum mengklarifikasi bahwa penyelesaian tidak melindungi HNF dan Centene dari tanggung jawab pidana jika bukti tambahan, hukuman administratif, atau tindakan sipil muncul di masa depan.
