Izvođač radova Ministarstva odbrane Health Net Federal Services (HNFS) i njegova matična kompanija Centene Corporation pristali su platiti 11 miliona dolara u nagodbi zbog lažnih tvrdnji o usklađenosti sa zahtjevima saveznog izvođača u vezi sajber bezbjednosti.
Navodno, HNFS, s kojim je Ministarstvo obrane (DoD) 2010. godine sklopilo ugovor za upravljanje programom zdravstvenog osiguranja TRICARE za pripadnike američke vojske i njihove porodice, ne samo da nije ispunio zahtjeve sajber bezbjednosti, već je i lagao o svojoj sertifikaciji.
Prema američkoj vladi, između 2015. i 2018. godine, zdravstveni radnik Rancho Cordova, sa sjedištem u Kaliforniji, nije uspio implementirati kontrole sajber bezbjednosti potrebne za program TRICARE i osigurati da te kontrole funkcionišu kako je predviđeno.
Kompanija je navodno propustila da skenira ranjivosti u svojim mrežama i sistemima i da ih blagovremeno otkloni, kako je definisano u svom bezbjednosnom planu, stoji u sporazumu o poravnanju (PDF).
HNFS je, kaže američka vlada, takođe ignorisao izvještaje revizora trećih strana u kojima su detaljno opisani nedostaci sajber bezbjednosti u vezi s upravljanjem imovinom, kontrolom pristupa, zaštitnim zidovima, upravljanjem zakrpama, politikama lozinki, skeniranjem ranjivosti i naslijeđenim hardverom i softverom.
Nadalje, američka vlada navodi da je HNFS podnio tri lažne godišnje potvrde o usklađenosti tvrdeći da ispunjava zahtjeve sajber bezbjednosti definisane vladinim ugovorom.
Iako su pristali da plate 11.253.400 dolara – uključujući 5.626.700 dolara na ime restitucije – kako bi riješili zahtjeve američke vlade, HNFS i Centene negiraju optužbe, rekavši da nikakvi podaci nisu izgubljeni ili eksfiltrirani iz njihovih sistema.
Prema američkoj vladi, “nije bilo utvrđivanja odgovornosti” i potraživanja protiv HNFS-a i Centene ostaju samo optužbe.
“Ovaj sporazum o nagodbi nije ni priznanje odgovornosti od strane HNFS-a ili Centenea niti ustupak Sjedinjenih Država da njihovi zahtjevi nisu dobro utemeljeni”, stoji u sporazumu o nagodbi.
Izvor: SecurityWeek
