HackerNews 编译,转载请注明出处:
美国卫生网联邦服务公司(HNFS)及其母公司 Centene Corporation 已同意支付 1125 万美元和解金,以解决 HNFS 被指控在其国防卫生局(DHA)TRICARE 合同下虚假认证符合网络安全要求的指控。
美国政府与 HNFS 签订合同,由其为 TRICARE 北区提供管理式医疗支持服务,覆盖 22 个州。
合同要求遵守网络安全标准,特别是 48 C.F.R. § 252.204-7012 以及 NIST 特别出版物 800-53(联邦信息系统和组织的安全与隐私控制)中的 51 项安全控制措施。
根据美国司法部的公告,在 2015 年至 2018 年期间,HNFS 被指控在为美国军人及其家庭管理健康福利时,未能实施所需的网络安全措施。
与此同时,司法部声称 HNFS 在向 DHA 提交的报告中虚假认证合规,使其看起来像是充分保护了人们的数据,而实际上并未做到。
具体而言,HNFS 未能采取以下措施:
- 扫描其系统中的已知漏洞并及时修复。考虑审计报告中突出的网络安全风险并采取行动进行补救。实施行业标准的资产管理、访问控制、防火墙保护和补丁管理。避免使用过时的硬件和软件。遵循强账户密码策略。
在和解协议文件中,美国政府指出 HNFS 至少在三个场合虚假认证合规:2015 年 11 月 17 日、2016 年 2 月 26 日和 2017 年 2 月 24 日。
HNFS 和 Centene 否认所有指控,并坚称没有发生数据泄露或军人信息丢失。然而,他们仍同意支付 1125 万美元和解金以解决指控。
法律文件明确指出,如果未来出现额外证据、行政处罚或民事诉讼,和解协议并不保护 HNFS 和 Centene 免受刑事责任。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
