Source: Slashdot
美国对其一所领先的研究型大学提起诉讼,指控其未能达到国防部为合同获奖者设定的网络安全标准。乔治亚理工学院(GIT)及其合同实体乔治亚理工研究公司(GTRC)正接受调查,原因是有知情者克里斯托弗·克雷格和凯尔·科扎举报其涉嫌未能保护受控非机密信息(CUI)。这一系列指控可追溯至2019年,并在之后的几年持续存在,尽管据称科扎早在2018年就已发现问题。其中有建议称,2019年5月至2020年2月间,乔治亚理工学院的Astrolavos实验室,一个着眼于影响国家安全的网络安全问题的部门,未能制定符合国防部标准(NIST 800-171)的网络安全计划。
诉讼声称,在2020年2月实施该计划时,范围未得到适当界定——并未涵盖所有必要端点——而在之后的几年里,乔治亚理工未能按照法规维护该计划。此外,Astrolavos实验室被指控未在设备和实验室网络上实施反恶意软件解决方案。诉讼称,大学批准该实验室拒绝部署反恶意软件以“满足领导该实验室的教授的要求”,美国司法部称。据称,这种情况发生在2019年5月至2021年12月期间。
在承包商处不安装反恶意软件解决方案是不允许的。事实上,这违反了联邦要求和乔治亚理工自身的政策,但据称还是发生了。据称,大学和GTRC还在2020年12月提交了虚假的网络安全评估分数——这是所有国防部承包商必须证明自己符合合规标准的要求。这两个组织被指控给自己打了一个98分的分数,后来根据各种因素被认定为欺诈行为。
总之,问题的焦点在于评估是在一个“虚构”的环境中进行的,因此基于这一情况,美国称分数并不是给与国防部合同相关的系统。这些指控是根据《虚假索赔法案》(FCA)提出的,在2021年引入的民用网络欺诈计划(CCFI)利用该法案惩罚那些明知会危害美国IT系统安全的实体。这是CCFI的一起首次案件。此前在CCFI下提出的所有案件都在诉讼阶段之前达成了和解。
网络安全问题关乎国家安全,值得引起广泛关注和重视。" } ```