Un contratista del gobierno de EE. UU. resolverá las acusaciones de que violó las normas de ciberseguridad antes de una infracción que comprometió los datos personales de los beneficiarios de Medicare. ASRC Federal Data Solutions (AFDS), con sede en Virginia, firmó un acuerdo con el Departamento de Justicia esta semana acordando pagar 306.722 dólares en restitución, pero sin admitir responsabilidad por las acusaciones. La AFDS también acordó renunciar al derecho de reembolso del dinero que ya gastó para remediar la exposición de los datos. Esto incluye los 877.578 dólares gastados en notificar a las víctimas que sus datos habían sido filtrados y en ofrecer seguimiento crediticio. «Los contratistas gubernamentales que manejan información personal deben tomar las medidas necesarias para salvaguardar esa información de ataques cibernéticos», dijo Brian M. Boynton, subprocurador general adjunto principal y jefe de la División Civil del Departamento de Justicia. «Perseguiremos atentamente a los contratistas que no cumplan con los protocolos de ciberseguridad requeridos y, al mismo tiempo, ampliaremos el crédito de cooperación cuando esté justificado para la autodivulgación, la cooperación y la remediación». Las acusaciones se refieren a un cambio hacia el manejo electrónico de «ciertos servicios de apoyo de Medicare» que AFDS brindó a los Centros de Servicios de Medicare y Medicaid (CMS), específicamente entre el 10 de marzo de 2021 y el 8 de octubre de 2022. Anteriormente se manejaban en persona mediante hardware. copias de documentos, el cambio al mantenimiento de registros electrónicos se realizó debido a la pandemia de COVID-19. La acusación principal en el caso fue que un subcontratista contratado por AFDS, cuyos servidores se utilizaron para llevar a cabo la tarea electrónica, no cumplió con los requisitos de ciberseguridad del Departamento de Salud y Servicios Humanos (HHS) y finalmente permitió la irrupción. cuando se robaron los datos. Según el acuerdo de conciliación [PDF]El subcontratista utilizó cifrado a nivel de disco para los archivos almacenados en el servidor, pero solo estaba configurado para bloquear el acceso de quienes usaban credenciales no válidas. Cualquiera con credenciales válidas podría haber accedido a los archivos protegidos. Durante el período de tiempo especificado, el subcontratista supuestamente tomó capturas de pantalla de los sistemas CMS que contenían información de identificación personal (PII). Estos archivos de captura de pantalla no se cifraron individualmente y posteriormente un tercero no autorizado que utilizó credenciales válidas accedió a ellos. «El servidor del subcontratista fue violado por un tercero en octubre de 2022 y las capturas de pantalla no cifradas supuestamente se vieron comprometidas durante esa violación», dijo la Oficina de Asuntos Públicos. Las acusaciones fueron hechas por los EE. UU. en virtud de la Ley de Reclamaciones Falsas y se relacionan específicamente con que la AFDS facture al CMS por «el tiempo dedicado a tomar, almacenar y administrar las capturas de pantalla no cifradas», todo mientras operaba en una supuesta violación de los requisitos de ciberseguridad del HHS. «Proteger la información personal sensible de los pacientes es de suma importancia», dijo Stephen Niemczak, agente especial a cargo de la Oficina del Inspector General del Departamento de Salud y Servicios Humanos (HHS-OIG). «Este acuerdo demuestra el compromiso del HHS-OIG y nuestros socios encargados de hacer cumplir la ley de utilizar todas las herramientas disponibles para proteger los datos de atención médica de todos los estadounidenses e investigar acusaciones de fraude, despilfarro y abuso contra el público y los programas de atención médica financiados por los contribuyentes». En el acuerdo se reconoció a la AFDS por sus acciones inmediatamente después de la infracción y las semanas siguientes. Se dijo que alertó al CMS dentro de una hora después de que el subcontratista le informara de la situación, ordenó una revisión completa de su propia seguridad por parte de consultores externos, brindó capacitación de seguridad adicional al personal y respondió rápidamente a cada solicitud del Departamento de Justicia. ®