Já imaginou um serviço de saúde para militares ser pego falsificando informações de segurança? Parece inacreditável, não é? Mas foi exatamente o que aconteceu com a Health Net Federal Services (HNFS), que acabou de pagar um alto preço por essa atitude.
Esse caso, envolvendo milhões de dólares e dados sensíveis de militares e suas famílias, é um alerta sobre a importância da segurança da informação, principalmente em setores como a saúde.
A Falsificação da Conformidade
A HNFS, que presta serviços de saúde para militares americanos, foi acusada de falsamente declarar conformidade com requisitos de segurança da informação em um contrato com o Departamento de Defesa. Essa declaração falsa ocorreu há uma década. A empresa e sua controladora, Centene Corporation, acabaram pagando US$ 11.253.400 para resolver as acusações.
É importante ressaltar que, apesar do pagamento, nenhuma das empresas admitiu culpa. Como é comum nesses casos, foi firmado um acordo sem reconhecimento de responsabilidade.
O Impacto do Ato
A HNFS era responsável pela administração do programa de benefícios de saúde TRICARE, que cobre milhões de pessoas em vários estados americanos. O contrato exigia que a empresa cumprisse rigorosos padrões de privacidade e segurança cibernética.
Isso incluía atividades como a verificação de vulnerabilidades e correção de falhas de segurança em tempo hábil, além da apresentação de relatórios anuais que certificassem a conformidade com as normas. No entanto, segundo o Departamento de Justiça, a HNFS falsificou esses relatórios entre 2015 e 2018, ignorando até mesmo relatórios de auditores externos.
Negligência em Vários Aspectos da Segurança
A empresa também teria ignorado sua própria auditoria interna de riscos cibernéticos relacionados à gestão de ativos, controle de acesso, configurações de firewall, equipamentos e softwares desatualizados, gestão de patches, varredura de vulnerabilidades e políticas de senhas. Tudo isso colocou em risco informações pessoais e de saúde de milhões de pessoas.
Felizmente, as autoridades não alegam que nenhum dado protegido foi roubado ou perdido devido a essas falhas de segurança. Mas o risco era iminente, especialmente considerando que dados de saúde são alvos valiosos para cibercriminosos.
As Consequências e Lições Aprendidas
Apesar da multa de US$ 11 milhões parecer significativa, para a Centene Corporation, que teve uma receita de US$163,1 bilhões no último ano fiscal, ela representa um valor relativamente pequeno. Mesmo assim, a situação serve como um forte lembrete de que a segurança da informação não é apenas uma questão de conformidade, mas sim uma responsabilidade ética e legal.
A falta de segurança da informação pode impactar não apenas a própria empresa, mas também a vida de milhões de pessoas. A transparência e a responsabilidade são essenciais para garantir a integridade dos dados e a confiança pública.
Este caso demonstra a importância de investir em segurança cibernética robusta e de ter processos internos de auditoria rigorosos. Ignorar as falhas de segurança pode ter consequências devastadoras, tanto financeiramente quanto em termos de reputação.
Deixe seu comentário abaixo compartilhando sua opinião sobre esse caso e quais ações você utilizaria para garantir a segurança da informação em sua empresa!
Fonte: The Register
