Health Net Federal Services (HNFS) และบริษัทแม่ Centene Corporation ได้ตกลงจ่ายค่าชดเชยจำนวน 11,253,400 ดอลลาร์ เพื่อยุติข้อกล่าวหาที่ HNFS รับรองการปฏิบัติตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์อย่างไม่ถูกต้อง ภายใต้สัญญา TRICARE ของ หน่วยงาน Defense Health Agency (DHA)
รัฐบาลสหรัฐฯ ได้ทำสัญญากับ HNFS เพื่อให้บริการบริหารจัดการสนับสนุนการดูแลสุขภาพ สำหรับภูมิภาคทางเหนือ ของ TRICARE ซึ่งครอบคลุม 22 รัฐ
สัญญาดังกล่าวกำหนดให้ต้องปฏิบัติตามมาตรฐานด้านความปลอดภัยทางไซเบอร์ รวมถึงข้อกำหนดของ 48 C.F.R. § 252.204-7012 และมาตรการควบคุมด้านความปลอดภัย 51 รายการ ตามแนวทางของ NIST Special Publication 800-53 (มาตรการควบคุมความปลอดภัย และความเป็นส่วนตัวสำหรับระบบ และองค์กรข้อมูลของรัฐบาลกลาง)
ตามที่กระทรวงยุติธรรมของสหรัฐฯ ประกาศ ระหว่างปี 2015 ถึง 2018 HNFS ถูกกล่าวหาว่าไม่ได้นำมาตรการรักษาความปลอดภัยไซเบอร์ที่จำเป็นมาใช้ ในขณะที่ดูแลสวัสดิการด้านสุขภาพสำหรับสมาชิกทหาร และครอบครัวของพวกเขาในสหรัฐฯ
ในเวลาเดียวกัน กระทรวงยุติธรรมของสหรัฐฯ ระบุว่า HNFS ได้ให้การรับรองการปฏิบัติตามข้อกำหนดเท็จในรายงานของตนต่อ DHA ทำให้ดูเหมือนว่าพวกเขาได้ปกป้องข้อมูลของประชาชนอย่างเพียงพอ แม้ว่าจะไม่ได้ทำเช่นนั้นก็ตาม
โดยเฉพาะอย่างยิ่ง HNFS ล้มเหลวในการดำเนินมาตรการดังต่อไปนี้:
- สแกนหาช่องโหว่ n-day ในระบบ และดำเนินการแก้ไขให้ทันท่วงที
- พิจารณาผลการตรวจสอบจากรายงานที่แสดงให้เห็นถึงความเสี่ยงด้านความปลอดภัยไซเบอร์ และดำเนินการแก้ไข
- นำมาตรการการบริหารจัดการทรัพย์สินตามมาตรฐานอุตสาหกรรม, การควบคุมการเข้าถึง,
- การป้องกันด้วยไฟร์วอลล์ และการจัดการแพตช์มาใช้
- หลีกเลี่ยงการใช้ฮาร์ดแวร์ และซอฟต์แวร์ที่ล้าสมัย
- ปฏิบัติตามนโยบายรหัสผ่านบัญชีที่เข้มงวด
ในเอกสารข้อตกลงยอมความ รัฐบาลสหรัฐฯ อธิบายว่า HNFS ได้รับรองการปฏิบัติตามข้อกำหนดโดยเท็จอย่างน้อยสามครั้ง ได้แก่ เมื่อวันที่ 17 พฤศจิกายน 2015, 26 กุมภาพันธ์ 2016 และ 24 กุมภาพันธ์ 2017
HNFS และ Centene ปฏิเสธทุกข้อกล่าวหา และยืนยันว่าไม่มีการรั่วไหลของข้อมูล หรือการสูญหายของข้อมูลสมาชิกเกิดขึ้น อย่างไรก็ตาม พวกเขายังคงตกลงที่จะจ่ายเงินจำนวน 11,253,400 ดอลลาร์ เพื่อยุติข้อกล่าวหา
เอกสารทางกฎหมายระบุอย่างชัดเจนว่าข้อตกลงยุติคดีนี้ไม่ได้คุ้มครอง HNFS และ Centene จากความรับผิดทางอาญา หากในอนาคตมีหลักฐานเพิ่มเติม บทลงโทษทางปกครอง หรือการดำเนินคดีทางแพ่งในอนาคต
ที่มา : bleepingcomputer
You must be logged in to post a comment.