Massachusetts merkezli bir savunma yüklenicisi olan Morse Corp Inc., Siber Güvenlik Sahtekarlığı iddialarını yanlış talepler Yasası uyarınca çözmek için 4.6 milyon dolar ödemeyi kabul etti. ABD Adalet Bakanlığı, şirketin Ordu ve Hava Kuvvetleri departmanlarıyla yapılan sözleşmeler üzerinde çalışırken federal siber güvenlik standartlarına uygunluğunu yanlış tanıttığını iddia ederek anlaşmayı açıkladı.
Morse Corp iddiaları ve yasal işlemler
Dava, Ocak 2023’te, bir muhbir, Kevin Berich’in Morse Corp’a karşı sahte talepler yasası uyarınca bir dava açmasıyla başladı. DOJ, Mart 2023’te davaya katıldı ve şirketi savunma federal satın alma düzenleme takviyesi (DFARS) maddelerini ihlal etmekle suçladı. Bu düzenlemeler, yüklenicilerin Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayın 800-171’de belirtilen siber güvenlik standartlarına bağlı kalmasını zorunlu kılmaktadır.
DOJ’un soruşturması, Ocak 2018’den Eylül 2022’ye kadar Morse Corp’un, fedRamp ılımlı temeline uyum sağlamadan e-postalarını barındırmak için üçüncü taraf bir hizmet kullandığını ortaya koydu-kapalı savunma bilgilerini ele almak için kritik bir siber güvenlik gereksinimi. Şirket ayrıca, kontrollü sınıflandırılmamış bilgileri yetkisiz erişimden koruyan NIST SP 800-171’den gerekli siber güvenlik kontrollerini uygulayamadı.
Siber güvenlik uyumunun yanlış sunulması
Uzlaşma anlaşmasına göre, Morse Corp, Ocak 2021’de Savunma Bakanlığı’nın Tedarikçi Performans Risk Sistemi’ne (SPR) siber güvenlik değerlendirmesinde 104 yanıltıcı bir puan sundu. Ancak, Temmuz 2022’deki bağımsız bir değerlendirme, şirketin gerekli kontrollerin sadece% 22’sini uyguladığını gösteren -142 önemli ölçüde daha düşük bir puan ortaya koydu. Bu keşfe rağmen Morse Corp, Haziran 2023’e kadar puanını güncelleyemedi.
Yerleşim belgesi ayrıca, savunma yüklenicisinin sistem sınırlarını, operasyonel ortamları ve diğer ağlarla bağlantıları özetleyen konsolide bir siber güvenlik planından yoksun olduğunu ayrıntılı olarak açıkladı. Bu gözetimler, hassas savunma verilerini potansiyel sömürü ve yetkisiz erişime maruz bırakarak sözleşme yükümlülüklerini ihlal etti.
Ayrıca okuyun: Donut Ransomware tarafından hedeflenen ABD Savunma Bakanlığı Yüklenicisi
Finansal Cezalar ve Bilgi Beklentisi Ödülü
Anlaşmanın bir parçası olarak Morse Corp, geri ödeme olarak 2.3 milyon dolar da dahil olmak üzere 4.6 milyon dolar ödeyecek. Bilgi uçağı Kevin Berich, davayı ışığa çıkarmak için toplam yerleşim miktarının% 18,5’ini alacak. Anlaşma ayrıca Morse Corp’un Berich’in avukatları için 198.616 dolarlık yasal ücretleri karşılamasını gerektiriyor.
Hava Kuvvetleri Özel Araştırmalar Ofisi’nden (AFOSI) özel ajan William Richards, “Siber güvenlik gereksinimlerinin uygulanamaması yıkıcı sonuçlara sahip olabilir, hassas DOD verilerini siber tehditlere ve kötü niyetli aktörlere karşı savunmasız bırakabilir” dedi. “(Biz) Hava Kuvvetleri Departmanı’nı etkileyen sahtekarlıkla mücadele etmeye devam edeceğiz ve hassas savunma bilgilerini doğru bir şekilde koruyamayan hesap verebilir tutacağız.”
Savunma müteahhitleri için çıkarımlar
Uzlaşma, savunma yüklenicilerine siber güvenlik uyumluluğunun yanlış sunulmasının sonuçları konusunda bir uyarı görevi görüyor. DOJ, siber güvenlik standartlarının sağlanmasının prosedürel bir formalite değil, ulusal güvenliğin kritik bir unsuru olduğunu vurguladı.
Uzmanlar, davanın siber güvenlik düzenlemelerinin daha katı olarak uygulanmasına ve savunma yüklenicilerinin artan incelemesine yol açabileceğini öne sürüyor. Sonuç, Yanlış Talepler Yasası kapsamında önemli finansal teşvikler göz önüne alındığında, daha fazla bilgi uçuranları uyumsuzluğu bildirmeye itebilir.