Sağlık, sektöre özgü, dava
DOJ, yüklenicinin yanlış kritik siber gereksinimleri karşıladığını iddia ettiğini söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
19 Şubat 2025
Bir askeri sağlık yardımı yöneticisi, şirketin ABD Savunma Bakanlığı ile yapılan bir sözleşmede üç yıl boyunca siber güvenlik gereksinimlerine yanlış bir şekilde uygunluğunu sağladığı iddialarını çözmek için 11,2 milyon dolar ödemeyi kabul etti.
Ayrıca bakınız: Finansal hizmetler için yazılım tedarik zinciri platformu
ABD Adalet Bakanlığı Salı günü, sağlık net federal hizmetlerle ve ana şirket Centene ile yapılan anlaşmasının, 2015-2018 yılları arasında, şirketin ABD yıllık raporlarında belirli siber güvenlik kontrollerini uygulayamadığı ve yanlış bir şekilde onayladığı iddialarını çözdüğünü söyledi. Savunma.
Gereksinimler, DoD’nin Savunma Sağlık Ajansı’nın askerlik hizmeti üyeleri ve aileleri için TRICARE Sağlık Faydaları Programını yönetmek için bir HNFS sözleşmesinin bir parçasıydı.
Centene, California merkezli sağlık net Inc.’i satın aldı – HNFS’nin önceki kurumsal ebeveyni – 2016 yılında ve HNF’lerin yükümlülüklerini üstlendi.
Michele Beckwith, “HNFS siber güvenlik yükümlülüklerini yerine getiremediğinde, sadece hükümetle olan sözleşmesini ihlal etmedi, aynı zamanda ulusumuzu savunmak için çok feda eden insanlara olan görevini ihlal etti.” Dedi. Kaliforniya Bölgesi.
Adalet Bakanlığı Yardımcısı ve Adalet Bakanlığı Sivil Bölümü başkanı Brett Shumate, hassas hükümet bilgilerini ele alan ve sürdüren şirketlerin onu korumak için sözleşme yükümlülüklerini yerine getirmesi gerektiğini söyledi. Diyerek şöyle devam etti: “Federal yükleniciler ve hibe alanlar tarafından Amerikalıların mahremiyetini ve ekonomik ve ulusal güvenliğini korumak için siber güvenlik gereksinimlerinin ihlallerini bilmeye devam edeceğiz.”
Özellikle, Adalet Bakanlığı HNFS’nin DOD sözleşmesinde çeşitli siber güvenlik gereksinimlerini karşılayamadığını iddia etti. Bu, bilinen güvenlik açıkları için zamanında tarama yapılmamasını ve ağlarında ve sistemlerindeki güvenlik kusurlarını azaltmamayı içerir.
Adalet Bakanlığı ayrıca HNFS’nin üçüncü taraf güvenlik denetçilerinin ve HNFS’nin ağları ve birkaç kritik alanla ilgili sistemler üzerindeki iç denetim departmanının raporlarını göz ardı ettiğini iddia etti. Bu varlık yönetimi içerir; erişim kontrolleri; Yapılandırma ayarları; güvenlik duvarları; Kullanımda Yaşam Sonu Donanım ve Yazılım; Yama yönetimi; güvenlik açığı taraması; ve şifre politikaları.
ABD Hükümeti, HNFS’nin, 2015, 2016 ve 2015, 2016 ve DoD’s Savunma Sağlık Ajansı’na gönderildiğinde NIST uyumluluk sertifikalarında listelenen Ulusal Standartlar ve Teknoloji Enstitüsü 800-53 güvenlik kontrolüne uygun olduğunu yanlış kanıtladığını iddia etti. 2017.
Sonuç olarak, savcılar HNFS’nin sözleşmeye geri ödeme iddialarının yanlış olduğunu iddia ediyorlar.
Yerleşime göre HNF’ler ve Centene, ABD hükümetinin iddialarını reddediyor. Ancak anlaşma, ABD’nin vergi ihlalleri veya cezai yükümlülükleri içerenler gibi HFN’lere karşı başka iddialarda bulunmasını engellemiyor.
Anlaşma belgesine göre, ABD hükümetinin HNF’lere ve Centene’e karşı iddialarını içeren “gecikme, belirsizlik, rahatsızlık ve uzun süreli davaların masraflarından kaçınmak” için anlaşmaya varıldığını söyledi.
Adalet Bakanlığı, Federal savcıların dava ile ilgili HNF’lere veya Centene’e karşı potansiyel cezai suçlamalar yapması da dahil olmak üzere bilgi güvenliği medya grubunun yorum talebine ve ek ayrıntılara hemen yanıt vermedi.
Bir HNFS sözcüsü ISMG’ye verdiği demeçte, “35 yıldan fazla bir süredir HNFS, Ülke genelinde Tricare yönetiminde hizmet üyelerini ve ailelerini sadakatle destekledi ve hizmet üyesi sağlık bilgilerinin korunması çok önemli oldu.” Dedi.
Diyerek şöyle devam etti: “Bu konuda yapılan iddiaları inkar edip hizmet üyesi verilerinin ihlali veya kaybı meydana gelmediğini unutmayın, bu anlaşmazlığa bir çözüm getirmekten memnuniyet duyarız.”
HNFS sözcüsü, HNFS’nin 31 Aralık 2024’te Tricare West bölgesi sözleşmesi kapsamında sağlık hizmetleri sunmayı bıraktığını söyledi.
Başarısızlıklarla ilgili
Adalet Bakanlığı tarafından HNF’lere karşı iddia edilen en çok ilgili başarısızlıklar, güvenlik açığı taraması, uygulamalar, işletim sistemleri, donanım desteği ve ürün yazılımı para birimi ile ilgili yama yönetimi içerecek bir güvenlik açığı yönetimi programının eksikliği ile ilişkili görünmektedir. Davaya dahil olmayan yönetilen hizmetler firması Neovera.
“Erişim kontrolleri de endişe verici bir alan olacaktır. Bunlar hassas verileri bilinen tehditlerden koruyan temel siber güvenlik uygulamalarıdır. Güvenlik açıkları için zamanında tarama yapılması ve yamaların uygulanmaması ve iyi belgelenmiş istismarlara maruz kalan Sistemler, bu, endüstri özelliklerinden bağımsız olarak uygulanabilir, uygulanabilir, bu da geçerlidir. “Dedi.
Ek olarak, zayıf varlık yönetimi ve yaşam sonu donanım ve yazılım kullanımı önemli güvenlik boşlukları yaratarak uyumluluğu korumayı ve gelişmekte olan tehditlere karşı ağların güvenliğini sağlamayı zorlaştırıyor. Diyerek şöyle devam etti: “Üçüncü taraf denetçilerinin ve iç denetim ekiplerinin bu sorunları işaretlemesi ve yönetilmedikleri kalmaları, yönetişim ve gözetimdeki sistemik eksiklikler konusunda daha fazla endişe duyuyor.”
Neovera’daki kıdemli direktör Jeremy Johnson, sadece devlet yüklenicilerine özgü olmasa da, DOJ iddiaları doğruysa, “HNFS sadece denetim ve taramaları bir uyumluluk onay kutusu olarak kullanıyor gibi görünüyor” dedi.
“Bu programlar esasen ‘Evet, tarama yapıyoruz. Evet, üçüncü taraf denetimler alıyoruz’ diyor. Ancak taramaların ve denetimlerin etkili olması için sonuçları almalı ve onlarla bir şeyler yapmalısınız ”dedi.
“Güvenlik açığı ve risk yönetimi, tarama, değerlendirme ve denetimlerin sadece başlangıç olması ile bir süreçtir. Bu önerilerin siber güvenlik için etkili olması için izlenmesi ve çözülmesi gerekir.” Dedi.
Diğer Yanlış İddia Davaları
HNFS davasında yer almayan hukuk firması Reese Marketos LLP’den avukat Andrew Wirmani, Adalet Bakanlığı ile Siber ile ilgili iddiaları içeren HNF’ler arasındaki anlaşmanın olağandışı olmadığını söyledi.
Eski bir federal savcı olan Wirmani, “Benim sayımla, bu, federal sözleşmelerde ve taşeronlarda siber güvenlik gereksinimlerine uymadığı iddiasına dayanan Dokuzuncu Yanlış İddialar Yasası uzlaşması” dedi.
“Biden yönetimi altında, bu tür soruşturmalar sivil siber sahtekarlık girişimlerinin çekirdeğiydi” dedi. Yeni Trump yönetimi altındaki birincisi olan bu yerleşim, “devlet doları karşılığında siber tellerden bilgileri korumayı kabul eden şirketleri tutmaya yönelik sürekli bir taahhüdü” dedi.
Bu tür yerleşimler ayrıca sağlık hizmetleri dışındaki sektörlerde federal yüklenicileri de içermektedir. Buna, 2022’de Aerojet Rocketdyne Inc. ile siber güvenlik içeren sözleşmeye bağlı vaatlere benzer uyumsuzluk teorilerine dayanan 9 milyon dolarlık bir FCA yerleşimini içeriyor. “Bu tür vakaların büyük çoğunluğu içeriden bilgi uçurucular tarafından başlatılıyor.”
HNFS davasında bir muhbirin rol oynayıp oynamadığı belirsizdir, ancak Wirmani, “Bu tür vakalardan gelen dersler açıktır” dedi.
“Hükümet, sözleşmelerinde siber güvenlik gereksinimlerini ciddiye alıyor ve siber ihlal olmasa bile uyumlu olmayan şirketleri hesaba katmaktan çekinmiyor.” Dedi.
Diyerek şöyle devam etti: “Şirketlerin HIPAA, Federal Bilgi Güvenliği Yönetimi Yasası ve NIST gibi düzenlemeler uyarınca federal sözleşmelere dahil edilen siber güvenlik standartlarını anlamaları ve hem personel hem de altyapı açısından uygun yatırımları yapmaları çok önemlidir.” dedi.
Diyerek şöyle devam etti: “Bu düzenlemeler karmaşık ve geliştiğinden, şirketlerin CIO’larından ve STK’larından aldıkları geri bildirimlere özellikle dikkat etmeleri gerekiyor, özellikle de potansiyel eksikliklerle ilgili endişeleri artırıyorlarsa.”