Las acusaciones incluyen que, entre 2015 y 2018, HNFS, que gestiona el Programa de Salud TRICARE para 22 estados, presentó certificados falsos de cumplimiento con varios controles de ciberseguridad. Se alega que la compañía no realizó escaneos adecuados para detectar vulnerabilidades conocidas y no abordó a tiempo fallas importantes en su infraestructura de seguridad. Además, el Departamento de Justicia destacó que HNFS ignoró informes internos y de terceros que identificaban riesgos asociados con la gestión de parches, políticas de contraseñas, hardware obsoleto y configuraciones inadecuadas de software.
El acuerdo de conciliación con HNFS se sitúa dentro de una amplia campaña del Departamento de Justicia para reforzar el cumplimiento de ciberseguridad entre los contratistas del gobierno. Esta iniciativa se basa en la Ley de Reclamos Falsos de 1863, que permite imponer sanciones civiles a quienes tergiversan la calidad de los servicios que ofrecen al gobierno.
El monitoreo de la infraestructura de ciberseguridad de contratistas ha cobrado mayor relevancia en los últimos tiempos, especialmente dada la creciente preocupación por los riesgos cibernéticos. Recientemente, en junio de 2024, el Departamento de Justicia también alcanzó un acuerdo por $11.3 millones con los contratistas Guidehouse Inc. y Nan McKay and Associates por no haber llevado a cabo las pruebas adecuadas de ciberseguridad en un sistema destinado a proporcionar asistencia financiera en Nueva York durante la pandemia de COVID-19.
En una serie de acciones que demuestran un enfoque más riguroso hacia la seguridad cibernética, en octubre de 2023, Penn State University fue multada con $1.25 millones por fallar en cumplir con los estándares de seguridad y por no abordar problemas una vez identificados. Asimismo, en agosto de este año, el gobierno de EE. UU. presentó una demanda contra el Instituto de Tecnología de Georgia debido a quejas de denunciantes relacionadas con su manejo de la ciberseguridad.
El objetivo del Departamento de Justicia es incentivar a las empresas a tomar en serio sus responsabilidades en términos de seguridad de la información. El fiscal general interino, Brett Shumate, enfatizó que es vital que las empresas que manejan información confidencial del gobierno, incluyendo datos sensibles de servicemen y sus familias, cumplan con sus obligaciones contractuales para proteger esos datos.
Las acciones recientes apuntan a un cambio significativo en la percepción y la regulación de la ciberseguridad entre los contratistas del gobierno, con un énfasis creciente en la protección de la privacidad y la seguridad económica y nacional. Esta tendencia indica que el gobierno continuará vigilando de cerca a los contratistas federales para asegurar el cumplimiento de los estándares requeridos. La importancia de la ciberseguridad en el contexto gubernamental no puede subestimarse, ya que mantiene la integridad de las operaciones y la confianza del público en las instituciones.
El caso de HNFS subraya la necesidad de que todos los contratistas mantengan altos estándares de ciberseguridad y respondan adecuadamente a los riesgos identificados, un mensaje que resuena en todos los niveles de la administración pública y el sector privado que tiene contratos gubernamentales.
Enlace de la fuente, haz clic para tener más información