ヘルス・ネット・フェデラル・サービス(HNFS)とその親会社であるセンテーン・コーポレーションは、HNFSが国防省保健局(DHA)のTRICARE契約においてサイバーセキュリティ要件への準拠を偽って証明したとの疑惑を解決するため、1,125万3,400ドルを支払うことに合意した。
米国政府はHNFSと契約し、22州をカバーするTRICAREの北部地域で管理医療支援サービスを提供していた。
この契約では、サイバーセキュリティ基準、特に48 CFR § 252.204-7012とNIST Special Publication 800-53(Securityand Privacy Controls for Federal Information Systems and Organizations)の51のセキュリティ管理への準拠が求められていた。
米司法省の発表によると、2015年から2018年にかけて、HNFSは米軍兵士とその家族のための医療給付を管理しながら、必要なサイバーセキュリティ対策を実施しなかったとされている。
同時に司法省は、HNFSがDHAへの報告書でコンプライアンスを虚偽に証明し、人々のデータを十分に保護していないにもかかわらず、保護しているように見せかけたと主張している。
具体的には、HNFSは以下の対策を怠っていた:
- システムの脆弱性をスキャンし、タイムリーに修正プログラムを適用する。
- サイバーセキュリティ・リスクを指摘する監査報告書の結果を考慮し、それを是正するための措置を講じること。
- 業界標準の資産管理、アクセス制御、ファイアウォール保護、パッチ管理を実施する。
- 時代遅れのハードウェアやソフトウェアの使用を避ける。
- 強固なアカウント・パスワード・ポリシーに従う。
和解合意文書の中で、米国州は、HNFSが2015年11月17日、2016年2月26日、2017年2月24日の少なくとも3回、コンプライアンスを偽って証明したと説明している。
HNFSとCenteneはすべての疑惑を否定し、データ漏洩や軍人情報の紛失は起きていないと主張している。しかし、それでも彼らは申し立てを解決するために11,253,400ドルを支払うことに同意した。
法的文書では、和解は、将来、追加の証拠、行政処分、民事訴訟が浮上した場合、HNFSとCenteneを刑事責任から守るものではないことを明確にしている。
Comments