Mevzuat ve Dava, Standartlar, Düzenlemeler ve Uyumluluk
Yeni Davada Georgia Tech’in DOD’a ‘Sahte’ Siber Güvenlik Puanı Verdiği İddia Ediliyor
Chris Riotta (@chrisriotta) •
23 Ağustos 2024
ABD, Georgia Tech’in dijital güvenlik ekibinin mevcut ve eski üyeleri tarafından açılan bir ihbarcı davasına müdahil oldu ve kurumu ve bağlı bir araştırma şirketini, siber güvenlik düzenlemelerini sistematik olarak görmezden gelerek hassas savunma bilgilerini tehlikeye atmakla suçladı.
Ayrıca bakınız: OnDemand I Bulutta Uyumluluk ve Güvenlik Zorluklarının Ele Alınması Konulu Panel Tartışması
Davada, Georgia Teknoloji Enstitüsü’ndeki Astrolavos Laboratuvarı’nın, Savunma Bakanlığı tarafından hassas verilerin işlenmesi için zorunlu tutulan sistem güvenlik planını gerektiği gibi uygulamadığı iddia ediliyor.
Suçlamalar arasında; Astrolavos laboratuvarının ağlarına antivirüs veya kötü amaçlı yazılım önleme araçları yüklememesi veya çalıştırmaması ve Atlanta kampüsü için bilerek yanlış bir siber güvenlik değerlendirme puanı sunması da yer alıyor.
Adalet Bakanlığı’nın sivil bölümünü yöneten Başsavcı Yardımcısı Brian Boynton, “Gerekli siber güvenlik kontrollerini tam olarak uygulamayan hükümet yüklenicileri, hassas hükümet bilgilerinin gizliliğini tehlikeye atıyor” dedi. Adalet Bakanlığı Perşembe günü, daha önce Georgia Tech’in siber güvenlik uyumluluk ekibinin kıdemli üyeleri olarak görev yapan muhbirler Christopher Craig ve Kyle Koza’dan davayı devralmak için müdahale ettiğini duyurdu.
Georgia Tech gibi federal yüklenicilerin iyi tanımlanmış siber güvenlik gerekliliklerine uyması gerekiyor. Georgia Tech, kampüs çapında bir bilgi teknolojisi sistemine sahip olmamasına rağmen kendi kendine değerlendirilen bir siber güvenlik değerlendirmesinde 110 üzerinden 98 puan aldığını iddia etti. Savcılar puanı “yanlış” olarak nitelendirdi ve kampüsün hükümet verilerini işlemekten sorumlu olan “Georgia Tech’teki hiçbir kapsam altındaki sözleşme sistemine uygulanmayan” “hayali” bir ortam yarattığını söyledi.
Dava dilekçesinde, “Aslında bu çalışanlara göre puan, ‘aslında var olan bir şeyi tanımlamıyordu'” denildi.
Georgia Tech, Adalet Bakanlığı’nın davaya müdahalesinden “son derece hayal kırıklığına uğradıklarını” belirterek, davanın “gizli bilgilerle veya korunan hükümet sırlarıyla hiçbir ilgisi olmadığını” söyledi.
Açıklamada, “Hükümet, Georgia Tech’e siber güvenlik kısıtlamaları gerektirmeyen bir araştırma yürüttüğünü söyledi ve hükümet, Georgia Tech’in çığır açan araştırma bulgularını kamuoyuna duyurdu,” denildi ve “herhangi bir bilgi ihlali olmadığı ve hiçbir verinin sızdırılmadığı” eklendi.
Hükümetin davaya müdahalesi, Adalet Bakanlığı’nın yeterli siber güvenlik korumaları sağlamayarak ABD bilgilerini veya sistemlerini tehlikeye atan kuruluşları sorumlu tutma çabasının ortasında geldi. Bakanlık, siber güvenlik operasyonlarını yanlış tanıtan ve federal siber güvenlik gerekliliklerini bilerek ihlal eden kuruluşları sorumlu tutmak için 2021’de Sivil Siber Sahtekarlık Girişimi’ni başlattı.