Jelly Bean Communications Design a conclu un règlement de 293 771 $ pour résoudre les allégations de la False Claims Act selon lesquelles il aurait sciemment fourni des contrôles de sécurité déficients à Florida Healthy Kids Corp., ce qui a causé la deuxième plus grande violation de données de santé signalée en 2021.
Jelly Bean a créé, hébergé et maintenu le site Web d’assurance maladie pour enfants de Floride, financé par le gouvernement fédéral, qui propose une assurance maladie et dentaire aux enfants dans le cadre d’un contrat émis par l’État entre le 31 octobre 2013 et 2020.
Une enquête du ministère de la Justice découle de l’avis de violation de février 2021 de la société à 3,5 millions de candidats et d’inscrits en ligne, détaillant un piratage de sept ans directement causé par Jelly Bean qui n’a pas corrigé plusieurs vulnérabilités de sites Web.
En vertu de son accord, Jelly Bean a fourni et hébergé un site Web qui était tenu de se conformer à la règle de sécurité de la loi sur la portabilité et la responsabilité en matière d’assurance maladie, qui régit les informations de santé protégées. Le site Web comprenait l’application en ligne pour demander une couverture d’assurance Medicaid pour les enfants.
À ce titre, la société a accepté « d’adapter, de modifier et de créer le code nécessaire sur le serveur Web pour prendre en charge la communication sécurisée des données ».
Cependant, le DoJ a découvert que la société et Jeremy Spinks – le directeur de Jelly Bean, propriétaire à 50 % et unique employé – « avaient sciemment omis de maintenir, de corriger et de mettre à jour correctement les systèmes logiciels », ce qui a exposé le site Web et les données des patients aux cybermenaces.
“Les sous-traitants gouvernementaux responsables du traitement des informations personnelles doivent s’assurer que ces informations sont correctement protégées”, a déclaré le sous-procureur général adjoint principal Brian Boynton, chef de la division civile du DoJ, dans le communiqué.
Plus de 500 000 applications piratées sur le site HealthyKids
Les allégations contre Jelly Bean étaient centrées sur l’avis au FHKC détaillant l’accès non autorisé à des milliers d’adresses de demandeurs. Les informations ont également été falsifiées via leur site Web hébergé et leurs bases de données, en raison de “failles de sécurité importantes”, qui ont permis à un acteur malveillant d’exploiter les données à partir de novembre 2013.
Le piratage de sept ans a exposé les données des noms complets des patients, des dates de naissance, des numéros de sécurité sociale, des informations financières, des relations familiales et des données d’assurance secondaires.
Le DoJ a constaté que “contrairement à ses déclarations dans les accords et les factures, Jelly Bean n’a pas fourni d’hébergement sécurisé des informations personnelles des candidats… laissant le site et les données collectées auprès des candidats vulnérables aux attaques”.
Au total, plus de 500 000 candidatures soumises sur le site HealthyKids ont été piratées. Le DoJ a allégué que l’exposition était le résultat direct de Jelly Bean “exécutant plusieurs applications obsolètes et vulnérables”. Certains logiciels n’avaient pas été mis à jour ou corrigés depuis novembre 2013.
FHKC a fermé le portail d’applications du site Web en décembre 2020, en conséquence directe du piratage massif et des défaillances de cybersécurité de Jelly Bean.
“Les entreprises ont la responsabilité fondamentale de protéger les informations personnelles des utilisateurs de leur site Web”, a déclaré l’agent spécial responsable Omar Pérez Aybar du ministère de la Santé et des Services sociaux, Bureau de l’inspecteur général, dans un communiqué.
“Il est inacceptable qu’une organisation ne fasse pas preuve de diligence raisonnable pour maintenir les applications logicielles à jour et sécurisées et compromette ainsi les données de milliers d’enfants”, a-t-il ajouté.
L’enquête a été lancée sur Jelly Bean dans le cadre de l’initiative civile de cyber-fraude du DoJ lancée le 6 octobre 2021. L’effort cible les entités ou les individus qui fournissent sciemment des produits de cybersécurité déficients, déforment les pratiques ou protocoles de cybersécurité, ou violent les obligations de surveiller et de signaler les incidents et infractions.
Le HHS OIG a l’intention de continuer à travailler avec les agences fédérales et étatiques pour s’assurer que les organisations de prestataires de soins de santé protègent les informations de santé personnelles et protégées.
Le DoJ prévoit de tirer parti de son autorité en vertu de la False Claims Act pour tenir les entreprises et la direction responsables. Boynton a ajouté, en particulier “lorsqu’ils ne respectent pas sciemment leurs obligations en matière de cybersécurité et mettent en danger des informations sensibles”.
