– Jelly Bean Communications Design LLC, una firma de diseño con sede en Florida, acordó pagar $293,771 para resolver las acusaciones de la Ley de Reclamaciones Falsas relacionadas con fallas en la seguridad cibernética, el Departamento de Justicia (DOJ) Anunciado.
En 2013, se contrató a Jelly Bean para crear, hospedar y mantener el sitio web de Florida Health Kids Corporation (FHKC), un proveedor de seguros de salud para niños de Florida financiado con fondos federales. Jelly Bean acordó crear el sitio web de conformidad con las protecciones de privacidad y seguridad de HIPAA, y el gobierno federal financió el 86 por ciento de los pagos realizados por FHKC a Jelly Bean.
“El acuerdo anunciado hoy resuelve las acusaciones de que desde el 1 de enero de 2014 hasta el 14 de diciembre de 2020, contrariamente a sus representaciones en acuerdos y facturas, Jelly Bean no brindó un alojamiento seguro de la información personal de los solicitantes y, en cambio, a sabiendas no mantuvo adecuadamente, parchear y actualizar los sistemas de software subyacentes a HealthyKids.org y sus sitios web relacionados, dejando el sitio y los datos recopilados por Jelly Bean de los solicitantes vulnerables a los ataques”, alegó el Departamento de Justicia.
En diciembre de 2020, HealthyKids.org sufrió un ciberataque que provocó la exposición de más de 500 000 aplicaciones que contenían datos confidenciales. Supuestamente, Jelly Bean estaba ejecutando el sitio utilizando múltiples aplicaciones obsoletas y vulnerables, incluido el software que no había sido parcheado desde noviembre de 2013.
“Los contratistas del gobierno responsables del manejo de información personal deben asegurarse de que dicha información esté debidamente protegida”, dijo el Fiscal General Adjunto Principal Brian M. Boynton, jefe de la División Civil del Departamento de Justicia. “Utilizaremos la Ley de Reclamaciones Falsas para responsabilizar a las empresas y su gestión cuando, a sabiendas, no cumplan con sus obligaciones de ciberseguridad y pongan en riesgo la información confidencial”.
Jelly Bean no admitió haber actuado mal, pero estuvo de acuerdo con el acuerdo. Luego de la violación, FHKC cerró su portal de aplicaciones, que había sido utilizado por padres y tutores para solicitar la cobertura de seguro estatal de Medicaid para niños.
“Las empresas tienen la responsabilidad fundamental de proteger la información personal de los usuarios de sus sitios web. Es inaceptable que una organización no haga la diligencia debida para mantener las aplicaciones de software actualizadas y seguras y, por lo tanto, comprometa los datos de miles de niños”, dijo el agente especial a cargo Omar Pérez Aybar de la Oficina del Inspector General del HHS (HHS-OIG). ).
“HHS-OIG continuará trabajando con nuestros socios federales y estatales para garantizar que los afiliados puedan confiar en sus proveedores de atención médica para proteger su información personal”.
