Merkezi McLean, Virginia’da bulunan Guidehouse Inc. ve merkezi El Cajon, Kaliforniya’da bulunan Nan McKay and Associates, Yanlış İddialar Yasası kapsamındaki iddiaları çözmek için toplam 11,3 milyon dolar tutarında uzlaşma ödemeyi kabul etti.
Anlaşmalar, COVID-19 salgını sırasında federal kiralama yardımına başvuran düşük gelirli New Yorklulara güvenli çevrimiçi erişim sağlamayı amaçlayan sözleşmelerdeki siber güvenlik gerekliliklerini karşılamadaki başarısızlıklardan kaynaklandı.
Tam olarak ne oldu?
Pandeminin getirdiği ekonomik zorluklara yanıt olarak Kongre, 2021’in başlarında Acil Kiralama Yardım Programını (ERAP) yürürlüğe koydu.
Bu girişim, uygun düşük gelirli hanelere kira, ödenmemiş kira borçları, kamu hizmetleri ve konutla ilgili diğer masrafların karşılanması amacıyla mali destek sunmak üzere tasarlandı. New York Geçici ve Engelli Yardım Ofisi (OTDA) gibi katılımcı devlet kurumları, federal finansmanı nitelikli kiracılara ve ev sahiplerine dağıtmakla görevlendirildi.
Guidehouse, ERAP teknolojisini ve hizmetlerini denetlemekten sorumlu olan New York’un ERAP’ının ana yüklenicisi olarak önemli bir rol üstlendi. Nan McKay, Guidehouse’un alt yüklenicisi olarak hareket etti ve New Yorklular tarafından kiralama yardımı için çevrimiçi başvurular göndermek için kullanılan ERAP teknolojisinin sağlanması ve bakımıyla görevlendirildi.
İhlallerin Kabulü ve Uzlaşma
İddiaların kritik noktası siber güvenlik protokollerindeki ihlallerdi. Hem Guidehouse hem de Nan McKay, ERAP Uygulaması üzerinde gerekli üretim öncesi siber güvenlik testlerini yapma yükümlülüklerini yerine getirmediklerini itiraf etti.
Sonuç olarak ERAP sistemi 1 Haziran 2021’de yayına alındı, ancak on iki saat sonra siber güvenlik ihlali nedeniyle OTDA tarafından kapatıldı. Bu veri ihlali, başvuru sahiplerinin internette erişilebilen kişisel bilgilerini (PII) açığa çıkardı. Guidehouse ve Nan McKay, uygun siber güvenlik testlerinin bu tür ihlalleri tespit edip potansiyel olarak önleyebileceğini kabul etti.
Ayrıca Guidehouse, sözleşmeden doğan yükümlülüklerini ihlal ederek OTDA’nın iznini almadan kişisel bilgileri depolamak için üçüncü taraf bir veri bulutu yazılım programı kullandığını itiraf etti.
Hükümetin Müdahalesi ve Sorumluluk
Adalet Bakanlığı Sivil Bölümünden Başsavcı Yardımcısı Brian M. Boynton, federal finansmanla ilgili siber güvenlik taahhütlerine bağlı kalmanın önemini vurguladı.
Boynton, “Federal finansman sıklıkla siber güvenlik yükümlülükleriyle birlikte geliyor ve yükleniciler ve hibe alanların bu taahhütleri yerine getirmesi gerekiyor” dedi. “Adalet Bakanlığı, hassas kişisel bilgilerin korunmasını amaçlayan maddi siber güvenlik gerekliliklerinin bilerek ihlal edilmesini takip etmeye devam edecektir.”
New York Kuzey Bölgesi’nden ABD Avukatı Carla B. Freedman da bu düşünceleri yineleyerek federal yüklenicilerin siber güvenlik yükümlülüklerine öncelik vermesinin gerekliliğini vurguladı. Freedman, “Federal fon alan yüklenicilerin siber güvenlik yükümlülüklerini ciddiye almaları gerekiyor” dedi. “Hassas bilgilerin korunması için gerekli olan siber güvenlik gerekliliklerini bilerek uygulama ve takip etme konusunda başarısız olan kuruluşları ve bireyleri sorumlu tutmaya devam edeceğiz.”
Hazine Bakanlığı Genel Müfettiş Vekili Richard K. Delmar, bu ihlallerin hükümetin salgından kurtulma çabaları için hayati önem taşıyan bir program üzerindeki ciddi etkisini vurguladı. Bu ihlali ele alma ve hesap verebilirliği sağlama konusunda Adalet Bakanlığı ile olan ortaklığından dolayı şükranlarını dile getirdi.
Delmar, “Bu satıcılar, pek çok uygun vatandaşın kira güvenliği için bağlı olduğu bir programda veri bütünlüğü yükümlülüklerini yerine getiremedi ve bu da hükümetin salgından kurtulma çabasının hayati bir kısmının etkinliğini tehlikeye attı” dedi. “Hazine OIG, bu toparlanmayı gerçekleştirmek için DOJ’un gözetim çalışmasına verdiği destekten dolayı minnettardır.”
New York Eyalet Denetçisi Thomas P. DiNapoli, ekonomik toparlanma için hayati önem taşıyan ERAP gibi programların bütünlüğünü korumanın kritik rolünü vurguladı. Federal ortaklara bu müteahhitleri sorumlu tutma konusundaki işbirlikçi çabaları için teşekkür etti.
DiNapoli, “Bu anlaşma, New York Eyaleti yüklenicilerine, kendilerine emanet edilen kişisel bilgileri korumamaları veya sözleşme şartlarını yerine getirmemeleri halinde bunun sonuçlarının doğacağına dair güçlü bir mesaj gönderiyor” dedi.
“Kira yardımı ekonomik toparlanmamız için hayati önem taşıyor ve programın bütünlüğünün korunması gerekiyor. Amerika Birleşik Devletleri Adalet Bakanlığı’na, Amerika Birleşik Devletleri New York Kuzey Bölgesi Savcısı Freedman’a ve Amerika Birleşik Devletleri Hazine Bakanlığı Genel Müfettiş Ofisi’ne, bu ihlali açığa çıkarma ve bu satıcıları sorumlu tutma konusundaki ortaklıkları için teşekkür ederim.”
Siber Güvenlik Risklerini Ele Alma Girişimi
Bu tür ihlallere yanıt olarak Başsavcı Yardımcısı, 6 Ekim 2021’de Sivil Siber Dolandırıcılık Girişimi’ni duyurdu. Bu girişim, yetersiz siber güvenlik uygulamaları veya yanlış beyanlar yoluyla hassas bilgileri bilerek tehlikeye atan kuruluşları veya kişileri sorumlu tutmayı amaçlıyor.
Bu ihlallere ilişkin soruşturma, Asılsız İddialar Yasası uyarınca bir ihbar davasının ardından başlatıldı. Anlaşmanın bir parçası olarak, eski bir Guidehouse çalışanına ait olan ihbarcı Elevation 33 LLC, yaklaşık 1,95 milyon dolar alacak.
Hukuk Dairesi Ticari Davalar Şubesi Dolandırıcılık Bölümü’nden Duruşma Avukatı J. Jennifer Koh ve New York Kuzey Bölgesi’nden ABD Başsavcı Yardımcısı Adam J. Katz, Hazine Bakanlığı OIG ve ABD Adalet Bakanlığı Ofisi’nin desteğiyle davayı yönetti. New York Eyalet Denetçisi.
Bu anlaşmalar, federal sözleşmelerde, özellikle de kamu yardım programları için kritik öneme sahip hassas kişisel bilgilerin korunmasında, sıkı siber güvenlik önlemleri alınması zorunluluğunun altını çiziyor. Hükümet, gelişen siber güvenlik tehditleriyle mücadeleye devam ederken, temel kamu kaynaklarını korumakla görevlendirilen yükleniciler arasında hesap verebilirliği uygulama konusunda kararlılığını sürdürüyor.