Health Net Federal Services (HNFS) y su empresa matriz, Centene Corporation, acordaron pagar $ 11,253,400 para resolver las acusaciones de que HNFS certificó erróneamente el cumplimiento de los requisitos de seguridad cibernética en virtud de su contrato de la Agencia Tricare (DHA) de la Agencia de Salud de Defensa (DHA) .
El gobierno de los Estados Unidos ha contratado a HNFS para proporcionar servicios de apoyo a la atención médica administrados a la región del norte de TRICARE, que cubre 22 estados.
El contrato requirió el cumplimiento de las normas de ciberseguridad, en particular 48 CFR § 252.204-7012 y 51 verificaciones de seguridad de Publicación especial de NIST 800-53 (Comprobaciones de seguridad y confidencialidad para sistemas y organizaciones federales de información).
Según un Anuncio del Ministerio de Justicia de los Estados UnidosEntre 2015 y 2018, HNFS no habría logrado implementar las medidas de seguridad cibernética requeridas mientras administra beneficios de salud para los miembros del Servicio Militar de los Estados Unidos y sus familias.
Al mismo tiempo, el Departamento de Justicia afirma que los HNF certificaron falsamente la conformidad en sus informes al DHA, lo que da la impresión de que protegen adecuadamente los datos de las personas, aunque no lo hicieron.
Más específicamente, HNFS no pudo tomar las siguientes medidas:
- Sea vulnerabilidades de los días en sus sistemas y aplique soluciones correctivas.
- Considere las conclusiones de los informes de auditoría que destacan el riesgo de ciberseguridad y toman medidas para corregirlos.
- Implemente la gestión de activos estándar, controles de acceso, protecciones de firewall y gestión de corrección.
- Evite usar hardware y software obsoletos.
- Siga políticas de contraseña sólidas.
En el Documento del acuerdo de conciliaciónEl estado de los Estados Unidos explica que HNFS atestiguó el cumplimiento falsamente de al menos tres veces: 17 de noviembre de 2015, 26 de febrero de 2016 y 24 de febrero de 2017.
HNFS y Centene niegan todas las acusaciones y argumentan que no se ha producido violación de datos o pérdida de información del servicio. Sin embargo, sin embargo acordaron pagar $ 11,253,400 para pagar las acusaciones.
El documento legal especifica que las regulaciones no protegen HNF y cientos de responsabilidad penal si surgen pruebas adicionales, sanciones administrativas o acciones civiles en el futuro.