İki danışmanlık şirketi, Guidehouse Inc. ve Nan McKay and Associates, siber güvenlik gerekliliklerinin karşılanmadığı yönündeki iddiaları çözmek için 11,3 milyon dolar ödemeyi kabul etti.
Merkezi McLean, Virginia’da bulunan Guidehouse Inc. 7,6 milyon dolar ödeyecek, El Cajon, California merkezli Nan McKay and Associates ise 3,7 milyon dolar ödeyecek.
İddialar, düşük gelirli New Yorkluların COVID-19 salgını sırasında federal kira yardımı için çevrimiçi başvuruda bulunmaları için güvenli bir ortam sağlamayı amaçlayan sözleşmelerle ilgili Yanlış İddialar Yasası’nın ihlallerinden kaynaklanıyor.
Siber Güvenlik Arızaları ve Veri İhlali
Kongre, 2021’in başlarında, COVID-19 salgını sırasında uygun düşük gelirli hanelerin kira ve diğer konutla ilgili harcamalarına yardımcı olmak için Acil Kiralama Yardım Programını (ERAP) kurdu.
New York Geçici ve Engelli Yardım Ofisi (OTDA) eyaletin ERAP’ını yönetiyordu.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Ana yüklenici olarak Guidehouse ve alt yüklenici olarak Nan McKay, ERAP teknolojisinin siber güvenliğini sağlamakla görevlendirildi.
Ancak her iki şirket de üretim öncesi gerekli siber güvenlik testlerini yapmadıklarını itiraf etti.
Sonuç olarak, ERAP web sitesi 1 Haziran 2021’de yayına girdiğinde, başvuru sahiplerinin kişisel bilgilerini (PII) tehlikeye atan bir veri ihlalinden yalnızca 12 saat sonra kapatıldı.
Şirketler, uygun siber güvenlik testlerinin ihlali önleyebileceğini kabul etti.
Ayrıca Guidehouse, OTDA’nın iznini almadan kişisel bilgileri depolamak için üçüncü taraf bir veri bulutu yazılım programı kullandığını ve sözleşmeyi daha da ihlal ettiğini itiraf etti.
Hükümetin Müdahalesi ve Yasal İşlemler
Başsavcı Yardımcısı Başsavcı Brian M. Boynton, federal finansmana bağlı siber güvenlik yükümlülüklerinin önemini vurgulayarak şunları söyledi: “Adalet Bakanlığı, hassas kişisel bilgilerin korunmasını amaçlayan maddi siber güvenlik gerekliliklerinin bilerek ihlal edilmesini takip etmeye devam edecektir.
” New York Kuzey Bölgesi’nden ABD Avukatı Carla B. Freedman da bu düşünceyi yineleyerek yüklenicilerin siber güvenlik yükümlülüklerini ciddiye almaları gerektiğini vurguladı.
Eski bir Guidehouse çalışanına ait olan Elevation 33 LLC’nin Yanlış İddialar Yasası uyarınca açtığı ihbar davası soruşturmayı başlattı.
İhbarcı, uzlaşma tutarından 1.949.250 dolarlık bir pay alacak.
Anlaşmalar, hükümetin siber güvenlik başarısızlıklarından kurumları sorumlu tutma konusundaki kararlılığının altını çiziyor.
Hazine Bakanlığı Genel Müfettiş Vekili Richard K. Delmar ve New York Eyalet Denetçisi Thomas P. DiNapoli, kişisel bilgilerin korunmasının ve hayati hükümet programlarının bütünlüğünün korunmasının önemini vurguladı.
Davanın başlığı Amerika Birleşik Devletleri ex rel. Elevation 33, LLC – Guidehouse Inc. ve diğerleri, Dava No. 1:22-cv-206 (NDNY), Dava Avukatı J. Jennifer Koh ve ABD Asistanı tarafından ele alınmıştır.
Avukat Adam J. Katz, Hazine Bakanlığı (OIG) ve New York Eyalet Denetleme Dairesi’nin yardımıyla.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free