Contratante dos EUA paga US$ 300 mil para resolver acusação de não cuidar adequadamente dos dados dos usuários do Medicare
Um empreiteiro do governo dos EUA resolverá as alegações de violação das regras de segurança cibernética antes de uma violação que comprometesse os dados pessoais dos beneficiários do Medicare.
A ASRC Federal Data Solutions (AFDS), com sede na Virgínia, assinou um acordo com o Departamento de Justiça esta semana concordando em pagar US$ 306.722 em restituição, mas sem admitir responsabilidade pelas alegações.
A AFDS também concordou em renunciar aos direitos de reembolso do dinheiro já gasto na remediação da exposição dos dados. Isso inclui os US$ 877.578 gastos notificando as vítimas de que seus dados foram vazados e oferecendo monitoramento de crédito.
“Os prestadores de serviços governamentais que lidam com informações pessoais devem tomar as medidas necessárias para proteger essas informações contra ataques cibernéticos”, declarou Brian M Boynton, principal vice-procurador-geral adjunto e chefe da Divisão Civil do Departamento de Justiça.
“Perseguiremos vigilantemente os empreiteiros que não cumpram os protocolos de segurança cibernética exigidos, ao mesmo tempo em que estenderemos o crédito de cooperação quando justificado para auto-revelação, cooperação e remediação”.
As alegações dizem respeito a uma mudança para o tratamento electrónico de “certos serviços de apoio do Medicare” que a AFDS forneceu ao Centros de serviços Medicare e Medicaid (CMS), especificamente entre 10 de março de 2021 e 8 de outubro de 2022. Anteriormente atendidos pessoalmente por meio de cópias impressas de documentos, a mudança para a manutenção de registros eletrônicos foi feita durante a pandemia de COVID-19.
A principal alegação no caso era que um subcontratado contratado pela AFDS, cujos servidores foram usados para realizar a tarefa eletrônica, não estava em conformidade com o Departamento de Saúde e Serviços Humanos'(HHS) requisitos de segurança cibernética e, em última análise, permitiu a invasão quando os dados foram roubados.
De acordo com o acordo de liquidação [PDF]o subcontratado usou criptografia em nível de disco para arquivos armazenados no servidor, mas foi configurado apenas para bloquear o acesso daqueles que usam credenciais inválidas. Qualquer pessoa com credenciais válidas poderia ter acessado os arquivos protegidos.
Durante o período especificado, o subcontratado supostamente fez capturas de tela de sistemas CMS que continham informações de identificação pessoal (PII). Esses arquivos de captura de tela não foram criptografados individualmente e posteriormente acessados por terceiros não autorizados que usavam credenciais válidas.
“O servidor do subcontratado foi violado por terceiros em outubro de 2022 e as capturas de tela não criptografadas foram supostamente comprometidas durante essa violação”, explicou o Escritório de Relações Públicas.
As alegações foram feitas pelos EUA sob a Lei de Reivindicações Falsas e referem-se especificamente à cobrança do AFDS ao CMS pelo “tempo gasto na captura, armazenamento e gerenciamento de capturas de tela não criptografadas” – tudo isso enquanto operava em suposta violação dos requisitos de segurança cibernética do HHS.
“Proteger as informações pessoais sensíveis dos pacientes é de suma importância”, afirmou Stephen Niemczak, agente especial responsável pelo Departamento de Saúde e Serviços Humanos do Inspetor Geral (HHS-OIG).
“Este acordo demonstra o compromisso do HHS-OIG e dos nossos parceiros responsáveis pela aplicação da lei em utilizar todas as ferramentas disponíveis para proteger os dados de saúde de todos os americanos e para investigar alegações de fraude, desperdício e abuso contra o público e programas de saúde financiados pelos contribuintes”.
A AFDS foi creditada no acordo por suas ações imediatamente após a violação e nas semanas que se seguiram.
Diz-se que alertou o CMS dentro de uma hora após o subcontratado informá-lo sobre a situação, ordenou uma revisão completa de sua própria segurança por consultores terceirizados, ministrou treinamento adicional de segurança ao pessoal e respondeu prontamente a todas as solicitações do Departamento de Justiça. ®