ABD’li Sağlık Devi Siber Güvenlik İhlali Nedeniyle 11 Milyon Dolar Ödeyecek

ABD’li sağlık kuruluşu Health Net Federal Services (HNFS) ve ana şirketi Centene Corporation, Savunma Sağlık Ajansı (DHA) ile yapılan TRICARE sözleşmesi kapsamında siber güvenlik önlemlerini yerine getirmediği iddiaları üzerine 11.253.400 dolar ödemeyi kabul etti.

ABD Adalet Bakanlığı tarafından yapılan açıklamaya göre, HNFS, 2015-2018 yılları arasında ABD askeri personeli ve ailelerine yönelik sağlık hizmetleri sunarken, gerekli güvenlik önlemlerini uygulamadı. Ancak şirketin, siber güvenlik standartlarına uygun hareket ettiğine dair yanlış beyanlarda bulunduğu öne sürüldü.

Güvenlik Açıkları Tespit Edildi
Sözleşme gereği, HNFS’nin 48 C.F.R. § 252.204-7012 ve Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) 800-53 sayılı güvenlik kontrollerine uyması gerekiyordu. Ancak şirketin şu temel güvenlik önlemlerini ihmal ettiği belirtildi:

• Sistemlerindeki güvenlik açıklarını taramamak ve zamanında düzeltme yapmamak,
• Denetim raporlarında belirtilen riskleri dikkate almamak ve önlem almamak,
• Varlık yönetimi, erişim kontrolleri, güvenlik duvarı korumaları ve yama yönetimini uygulamamak,
• Güncelliğini yitirmiş donanım ve yazılımlar kullanmak,
• Güçlü parola politikalarına uymamak.

ABD Adalet Bakanlığı, HNFS’nin en az üç farklı tarihte (17 Kasım 2015, 26 Şubat 2016 ve 24 Şubat 2017) hatalı uyumluluk sertifikaları sunduğunu açıkladı.

Şirket Suçlamaları Reddetti
HNFS ve Centene, herhangi bir veri ihlali veya bilgi sızıntısı yaşanmadığını savunsa da anlaşma gereği 11,2 milyon dolarlık cezayı ödemeyi kabul etti. Ancak, anlaşmanın şirketleri gelecekte ortaya çıkabilecek ek deliller karşısında cezai veya idari yaptırımlardan muaf tutmadığı ifade edildi.

CUMHA - CUMHUR HABER AJANSI