Quanto mais as coisas mudam... O mais recente acordo cibernético do Departamento de Justiça dos EUA mostra o risco contínuo da Lei de Reivindicações Falsas

Embora a mudança nas administrações tenha anunciado uma mudança nas prioridades de fiscalização do Departamento de Justiça dos Estados Unidos (DOJ), a fiscalização da segurança cibernética sob a Lei de Reivindicações Falsas (FCA) parece estar viva e bem. Essa é a conclusão do recente anúncio do DOJ de que a Health Net Federal Services e a sua controladora, Centene Corporation, concordaram em pagar mais de US$ 11 milhões para resolver uma questão da FCA alegando violações de segurança cibernética.

O Acordo da Health Net

De acordo com o DOJ, a Health Net celebrou um contrato com o Departamento de Defesa para administrar o programa de benefícios de saúde TRICARE da Agência de Saúde da Defesa. A Health Net supostamente não cumpriu certos controlos de cibersegurança como parte do seu contrato com o governo e certificou falsamente a conformidade com esses requisitos nos relatórios anuais apresentados ao governo. O governo alegou que a empresa não verificou atempadamente as vulnerabilidades conhecidas e não corrigiu as falhas de segurança nas suas redes e sistemas. Além disso, de acordo com o governo, a Health Net teria ignorado relatórios de auditores de segurança terceirizados e do seu próprio departamento de auditoria sobre riscos de cibersegurança nas redes e sistemas da empresa. Esses riscos estavam relacionados, entre outras coisas, à gestão de ativos, firewalls, gestão de patches e políticas de senhas. O governo alegou que, como resultado dessas supostas falhas, os pedidos de reembolso da empresa nos termos do contrato eram falsos, mesmo que não houvesse qualquer exfiltração ou comprometimento de dados ou informações de saúde protegidas.

Este último acordo baseia-se em ações anteriores do DOJ contra contratantes do governo por alegadas falhas de cibersegurança. Foley relatou essas ações anteriores aqui e aqui, incluindo o processo FCA do DOJ contra a Georgia Tech, que continua pendente.

O acordo com a Health Net demonstra que o Departamento de Justiça da administração Trump continua focado na aplicação da lei em matéria de cibersegurança, particularmente nos termos da FCA. Isso não é surpreendente, dadas as declarações da administração sobre o combate a supostas fraudes, desperdícios e abusos. Além disso, esse foi um tema repetido por vários porta-vozes do Departamento de Justiça numa conferência nacional sobre denúncias qui tam, realizada em Washington, D.C., em fevereiro de 2025.

Além disso, quando um contrato federal envolve as forças armadas, como foi o caso do acordo com a Health Net, é provável que este governo se empenhe especialmente nos seus esforços de investigação e acusação. De facto, é notável que o acordo com a Health Net não pareça ter surgido de uma ação qui tam, o que significaria que o governo iniciou a investigação por conta própria. Por fim, permanece o facto de que a cibersegurança sempre foi uma questão bipartidária.

Recomendações

À luz do acordo com a Health Net e do interesse do novo governo em fazer cumprir as normas de segurança cibernética, as empresas e outros beneficiários de fundos federais (incluindo faculdades e universidades) devem considerar as seguintes medidas para melhorar a conformidade com a segurança cibernética e reduzir o risco de FCA:

1. Catalogar e monitorizar a conformidade com todas as normas de cibersegurança impostas pelo governo. Isso inclui não apenas o conhecimento contínuo dos contratos da organização, mas também o monitoramento e a avaliação contínuos do programa de cibersegurança da organização para identificar e corrigir vulnerabilidades e avaliar a conformidade com essas normas contratuais de cibersegurança.
2. Desenvolva e mantenha um programa de conformidade robusto e eficaz que aborde questões de segurança cibernética. Em muitas empresas, o programa de conformidade e as funções de segurança da informação não estão bem integrados. Um programa de conformidade eficaz abordará as preocupações de segurança cibernética e incentivará os funcionários a relatar tais preocupações. Quando as preocupações são identificadas, é fundamental escalá-las e investigá-las prontamente. Como as disposições qui tam da FCA permitem que funcionários e outras pessoas entrem com ações judiciais em nome dos Estados Unidos, é fundamental responder às preocupações dos funcionários de forma eficaz.
3. Quando for identificada a não conformidade com as normas de cibersegurança, as organizações devem avaliar os possíveis passos seguintes. Isto inclui a possibilidade de divulgar o assunto ao governo e cooperar com os investigadores governamentais. As organizações devem trabalhar com advogados experientes neste domínio. O mapeamento proactivo de uma estratégia para investigar e responder a potenciais incumprimentos pode incutir disciplina ao processo e simplificar a abordagem da organização.