ABD Adalet Bakanlığı, Georgia Teknoloji Enstitüsü (daha çok Georgia Tech olarak bilinir) ve araştırma şirketi Georgia Tech Research Corp’a karşı, enstitünün Savunma Bakanlığı ile yaptığı sözleşmelerdeki temel siber güvenlik gerekliliklerini yerine getirmediğini iddia ederek dava açtı.
Bir muhbir davasıyla birlikte sunulan şikâyette, sanıkların hassas devlet bilgilerinin gizliliğini ihlal ettikleri iddia ediliyor.
Georgia Tech’teki İhmallerin Ulusal Güvenliği Tehlikeye Attığına İnanılıyor
Davaya göre, Georgia Tech’teki Astrolavos Laboratuvarı, Savunma Bakanlığı (DoD) yönetmelikleri uyarınca bir gereklilik olan bir sistem güvenlik planı geliştirmeyi ve uygulamayı başaramadı ve en azından Şubat 2020’ye kadar uygun bir plan geliştirmedi. Laboratuvarın planı uyguladıktan sonra bile dizüstü bilgisayarlar, masaüstü bilgisayarlar ve sunucular dahil olmak üzere gerekli tüm ekipmanları kapsayacak şekilde kapsamını uygun şekilde belirlemediği iddia ediliyor.
Ayrıca laboratuvar, hem federal yasa hem de Georgia Tech’in kendi politikaları gereği bunu yapmak zorunda olmasına rağmen cihazlarına anti-virüs ve anti-malware araçları yüklemeyi ve güncellemeyi başaramadı. Laboratuvarın başkanı olan bir profesörün talebi üzerine laboratuvarın antivirüs yazılımının kurulumunu atlamasına izin verilmişti.
Siber güvenlik kontrollerindeki eksiklikler yalnızca ulusal güvenliğimiz için değil, aynı zamanda günlük olarak hayatlarını riske atan silahlı kuvvetlerimizin kadın ve erkeklerinin güvenliği için de önemli bir tehdit oluşturuyor” dedi. Savunma Bakanlığı Müfettişlik Ofisi, Savunma Suç Soruşturma Servisi’nden Özel Ajan Darrin K. Jones.
Yanlış Siber Güvenlik Raporlaması
Dava ayrıca, Aralık 2020’de Georgia Tech ve araştırma şirketinin DoD’ye Georgia Tech kampüsünün tamamı için sahte bir siber güvenlik değerlendirme puanı sunduğunu iddia ediyor. DoD, yüklenicilerin kapsanan savunma bilgilerini depolamak veya bunlara erişmek için kullanılan sistemlerde geçerli siber güvenlik gerekliliklerine uyumlarını yansıtan özet düzeyinde puanlar bildirmelerini gerektirir.
Ancak davada, Georgia Tech’in kampüs çapında bir BT sistemine sahip olmaması ve puanın gerçek bir sözleşme sistemini temsil etmeyen ‘hayali’ veya ‘sanal’ bir ortama ait olması nedeniyle bildirilen 98 puanının yanlış olduğu iddia ediliyor.
Adalet Bakanlığı’nın Sivil Bölümü’nden Başsavcı Yardımcısı Brian M. Boynton, “Gerekli siber güvenlik kontrollerini tam olarak uygulamayan hükümet yüklenicileri, hassas hükümet bilgilerinin gizliliğini tehlikeye atıyor” dedi. “Bakanlığın Sivil Siber Dolandırıcılık Girişimi, bu tür yüklenicileri tespit etmek ve onları sorumlu tutmak için tasarlandı” diye ekledi.
Georgia Tech Hesap Verebilirliği ve Sonuçları
Muhabir davası, Georgia Tech’in siber güvenlik uyumluluk ekibinin iki eski üyesi tarafından, özel şahısların hükümet adına sahte iddialar nedeniyle dava açmasına ve elde edilen tazminattan pay almasına olanak tanıyan Sahte İddialar Yasası kapsamında açıldı.
Georgia Tech ve araştırma şirketi, sorumlu bulunursa, hükümetin kayıplarının üç katına kadar ceza ve uygulanabilir para cezalarıyla karşı karşıya kalabilir. Dava, Adalet Bakanlığı’nın Medeni Dairesi ve Georgia Kuzey Bölgesi ABD Savcılığı tarafından ele alınıyor.
“Siber güvenlik, hükümet yüklenicileri için isteğe bağlı bir eklenti değildir; hassas bilgileri ve sistemleri korumak için temel bir gerekliliktir,” dedi Georgia Kuzey Bölgesi ABD Savcısı Ryan K. Buchanan. Bu kritik güvenlik önlemlerini görmezden gelenleri sorumlu tutacağız,” diye ekledi.