Sağlık Net Federal Hizmetler (HNFS) ve ana şirketi Centene Corporation, HNFS’nin Savunma Sağlık Ajansı (DHA) TRICARE sözleşmesi kapsamında siber güvenlik gereksinimlerine yanlış bir şekilde uyumlu olduğu iddialarını çözmek için 11.253.400 $ ödemeyi kabul etti.
ABD hükümeti, 22 eyaleti kapsayan Tricare’in Kuzey Bölgesi için yönetilen sağlık destek hizmetleri sunmak üzere HNFS ile sözleşme imzaladı.
Sözleşme, siber güvenlik standartlarına, özellikle 48 CFR § 252.204-7012 ve NIST Özel Yayını 800-53’ten 51 güvenlik kontrolüne (federal bilgi sistemleri ve kuruluşları için güvenlik ve gizlilik kontrolleri) uyum gerektiriyordu.
Bir ABD Adalet Bakanlığı duyurusuna göre, 2015-2018 yılları arasında HNFS, Amerikan askerlik hizmetleri üyeleri ve aileleri için sağlık yararları uygularken gerekli siber güvenlik önlemlerini uygulayamadığı iddia ediliyor.
Aynı zamanda, DOJ, HNF’lerin DHA’ya verdiği raporlarda yanlış bir şekilde sertifikalı uyumlulukları iddia ederek insanların verilerini yeterince korudukları gibi görünmelerini sağlıyor.
Özellikle, HNFS aşağıdaki önlemleri alamamıştır:
- Sistemlerinde N-Day güvenlik açıkları için tarama yapın ve düzeltmeleri zamanında uygulayın.
- Siber güvenlik risklerini vurgulayan denetim raporlarının bulgularını düşünün ve bunları düzeltmek için harekete geçin.
- Endüstri standartları varlık yönetimi, erişim kontrolleri, güvenlik duvarı korumaları ve yama yönetimini uygulayın.
- Eski donanım ve yazılım kullanmaktan kaçının.
- Güçlü hesap şifresi politikalarını takip edin.
Uzlaşma Anlaşması belgesinde ABD Devleti, HNFS’nin en az üç kez yanlış bir şekilde uyum sağladığını açıklamaktadır: 17 Kasım 2015’te 26 Şubat 2016’da ve 24 Şubat 2017’de.
HNF’ler ve Centene tüm iddiaları reddeder ve hiçbir veri ihlali veya hizmet kaybının meydana gelmediğini iddia eder. Ancak, iddiaları çözmek için hala 11.253.400 dolar ödemeyi kabul ettiler.
Yasal belge, gelecekte ek kanıtlar, idari cezalar veya medeni eylemler ortaya çıkarsa, yerleşimin HNF’leri ve Centene’i cezai sorumluluktan korumadığını açıklığa kavuşturmaktadır.