Health Net Federal Services, LLC (HNFS) ve ana şirketi Centene Corporation, ABD Savunma Bakanlığı (DOD) ile yapılan bir sözleşme kapsamında siber güvenlik gereksinimlerine yanlış bir şekilde uyumlu oldukları iddialarını çözmek için 11 milyon doların üzerinde ödeme yapmayı kabul etti.
Anlaşma, hassas bilgileri ele alan devlet yüklenicileri için siber güvenlik düzenlemelerinin artan uygulanmasını vurgulamaktadır.
Yerleşimin arka planı
Rancho Cordova, California ve ana şirketi St. Louis merkezli Centene Corporation’da bulunan HNFS, Savunma Sağlık Ajansı’nın (DHA) TRICARE Sağlık Yardımları programını yönetirken gerekli siber güvenlik standartlarını karşılamakla suçlandı. Tricare, ABD hizmet üyelerine ve ailelerine tıbbi faydalar sağlar ve siber güvenlik uyumluluğunu sözleşmenin kritik bir yönü haline getirir.
ABD Adalet Bakanlığı’na (DOJ) göre, HNF’ler 2015-2018 yılları arasında siber güvenlik kontrollerine uygunluğunu yanlış bir şekilde onayladı. Bu sertifikalar, TRICARE yönetim sözleşmesi şartlarında gerektiğinde DHA’ya yıllık raporlarda sunuldu. ABD hükümeti, HNFS’nin sistem güvenlik planında belirtildiği gibi, bilinen güvenlik açıklarını tarayamadığını ve gerekli yanıt sürelerinde güvenlik kusurlarını ele aldığını iddia etti.
2016 yılında HNFS’nin kurumsal ebeveynini satın alan Centene Corporation, HNFS’nin yükümlülüklerini üstlenerek yerleşime bir parti haline getirdi. Anlaşmada kararlaştırılan toplam tutar 11.253.400 $ ‘dır.
Hükümetin siber güvenliklere verdiği tepki
Hükümet yetkilileri, özellikle hassas hükümet ve kişisel verileri ele alırken siber güvenlik uyumunun önemini vurguladılar.
DOJ Sivil Bölümü başkanı Başsavcı Başsavcı Brett A. Shumate, “Ülkenin hizmet üyeleri ve aileleri hakkında bilgi de dahil olmak üzere hassas hükümet bilgilerine sahip olan şirketler, onu korumak için sözleşme yükümlülüklerini yerine getirmelidir” dedi. “Federal yükleniciler ve hibe alanlar tarafından Amerikalıların gizliliğini ve ekonomik ve ulusal güvenliğini korumak için siber güvenlik gereksinimlerinin ihlallerini bilmeye devam edeceğiz.”
ABD Avukatı Michele Beckwith, Kaliforniya’nın Doğu Bölgesi için Beckwith, “HNF’ler siber güvenlik yükümlülüklerini yerine getiremediğinde, sadece hükümetle olan sözleşmesini ihlal etmedi, aynı zamanda çok feda eden insanlara karşı görevini ihlal etti Milletimizin savunmasında. ”
Savunma Ceza Soruşturma Servisi’nde (DCIS) siber saha ofisinden sorumlu özel ajan olan Kenneth Dechellis, siber güvenlik başarısızlıklarının potansiyel risklerini vurguladı: “Bu yerleşim, Tricare ve hizmet üyelerini ve ailelerine bağlı olan ailelerini korumanın önemini yansıtıyor. Sömürü risklerinden sağlık programı hakkında. ”
HNF’lere karşı özel iddialar
DOJ, HNF’lere yönelik iddialara katkıda bulunan birkaç siber güvenlik başarısızlığı detaylandırdı:
- Güvenlik açıkları taramaması: HNF’ler, sistemlerinde bilinen siber güvenlik güvenlik açıklarını tanımlamak için zamanında taramalar yapmadı.
- Adlandırılmamış güvenlik riskleri: Üçüncü taraf güvenlik denetçileri ve HNFS’nin kendi iç denetim ekibinin raporları, giderilmeyen siber güvenlik zayıflıklarını belirledi.
- Varlık Yönetimi Sorunları: HNFS, yetkisiz erişim risklerini artıran BT varlıklarını yönetmek ve güvence altına almakla mücadele etti.
- Yetersiz erişim kontrolleri: Zayıf erişim kontrol mekanizmaları potansiyel olarak yetkisiz kullanıcılara maruz kalan hassas verileri bıraktı.
- Yapılandırma ve güvenlik duvarı zayıf yönleri: Şirket, güvenlik ayarlarını düzgün bir şekilde yapılandıramadı ve güvenlik duvarı korumalarını koruyarak dış tehdit riskini artırdı.
- Eski donanım ve yazılım kullanımı: Artık satıcılar tarafından desteklenmeyen yaşam sonu teknolojisi kullanımda kaldı ve sistemleri açılmamış güvenlik açıklarına maruz bıraktı.
- Kötü Yama Yönetimi: HNFS, kritik güvenlik güncellemelerini zamanında yüklemedi ve sistemleri bilinen siber tehditlere açık bıraktı.
- LAX Şifre Politikaları: Zayıf şifre güvenlik politikaları, kimlik doğrulama ve yetkisiz erişim olasılığını artırdı.
Federal yükleniciler için çıkarımlar
Yerleşim, devlet yüklenicileri için siber güvenlik uyumundaki artan incelemenin altını çizmektedir. Siber tehditler daha sofistike büyüdükçe, DOJ ve DOD gibi ajanslar, hassas hükümet verilerine emanet edilen şirketlerin siber güvenlik en iyi uygulamalarına bağlı kalmasını sağlamak için katı önlemler uyguluyorlar.
Siber güvenlik gereksinimlerine uyulmaması sadece hükümet sözleşmelerini riske atmakla kalmaz, aynı zamanda kuruluşları potansiyel finansal cezalara ve itibar hasarına maruz bırakır. Yüklenicileri yanlış uyumluluk sertifikalarından sorumlu tutan Yanlış Talep Yasası, hükümetin siber güvenlik standartlarını uygulaması için güçlü bir araç olmaya devam etmektedir.
Çözüm
Sağlık ağı Federal Hizmetleri, Centene Corporation ve ABD hükümeti arasındaki 11 milyon dolarlık anlaşma, federal sözleşmelerde siber güvenlik uyumunun önemi hakkında açık bir mesaj gönderiyor. Hassas hükümet bilgilerini ele alan şirketler, verileri siber tehditlerden korumak için güvenlik önlemlerine öncelik vermelidir.
Düzenleyici gözetim arttıkça, şirketler siber güvenlik çerçevelerini güçlendirmeli, sözleşme yükümlülüklerine uyum sağlamalı ve hassas bilgileri siber tehditlerden korumak için proaktif adımlar atmalıdır.