Weitere FCA-Cybersicherheitsvereinbarungen unterstreichen die Prioritäten des DOJ bei der Durchsetzung

Das US-Justizministerium (DOJ) hat kürzlich eine weitere Vergleichsvereinbarung bekannt gegeben, die zeigt, dass das DOJ weiterhin der Durchsetzung der Cybersicherheit im Rahmen des False Claims Act (FCA) Priorität einräumt. LautPressemitteilung erklärte sich der Regierungsauftragnehmer Illumina Inc. (Illumina) bereit, 9,8 Millionen US-Dollar zu zahlen, um seine FCA-Angelegenheit beizulegen, die sich aus Vorwürfen im Zusammenhang mit den Cybersicherheitspraktiken des Unternehmens bei Regierungsaufträgen ergab – ein Schwerpunktbereich, der in den jüngsten Vergleichen des DOJ zunehmend an Bedeutung gewonnen hat.

Die Illumina-Siedlung

Illumina ist ein Biotechnologieunternehmen, das Genomsequenzierungssysteme – eine Technologie, die bei Gentests zur Bestimmung der DNA-Sequenzen von Organismen eingesetzt wird – herstellte und an verschiedene Bundesbehörden verkaufte. Die ehemalige Direktorin für Portfolio- und Programmmanagement von Illumina reichte im September 2023 eine Qui-Tam-Klage ein, nachdem sie angeblich von Illumina entlassen worden war, weil sie bestimmte Bedenken hinsichtlich der Cybersicherheit geäußert hatte. 

Gemäß der Vergleichsvereinbarung wurden die Genomsequenzierungssysteme von Illumina mit der Software Local Run Manager (LRM) und/oder Universal Copy Service (UCS) betrieben, die Cybersicherheitslücken aufwiesen, und Illumina verfügte nicht über das erforderliche Produktsicherheitsprogramm oder die erforderlichen Qualitätsmaßnahmen, um diese Lücken zu identifizieren und zu beheben. Wie auch bei anderen jüngsten FCA-Vergleichen im Bereich Cybersicherheit gab es keine Behauptung, dass im Zusammenhang mit den Produkten von Illumina tatsächlich eine Verletzung der Cybersicherheit stattgefunden habe. Das DOJ hielt die Forderungen von Illumina nach Zahlungen dieser Bundesbehörden für seine Produkte jedoch weiterhin für falsch und behauptete, dass Illumina (i) es wissentlich versäumt habe, „die Cybersicherheit der Produkte in sein Software-Design zu integrieren”; (ii) seine Bemühungen um Produktsicherheit „nicht angemessen unterstützt und mit Ressourcen ausgestattet” habe; (iii) „Designmerkmale, die Cybersicherheitslücken in den Produkten verursachten, nicht angemessen korrigiert” habe; und (iv) fälschlicherweise behauptet habe, dass die Software bestimmte Cybersicherheitsstandards einhalte. 

Illumina bestreitet diese Vorwürfe, erklärte sich jedoch bereit, fast 10 Millionen Dollar zur Beilegung der Ansprüche zu zahlen, von denen der Informant als Qui-Tam-Informant 1,9 Millionen Dollar erhalten wird. 

Das Verhalten, das zu der Einigung führte, ereignete sich zwischen 2016 und 2023. In der Klage wurde insbesondere behauptet, dass Illumina zuvor Sicherheitslücken in zwei seiner Produkte im Zusammenhang mit bestimmten Rückrufaktionen in den Jahren 2022 und 2023 gegenüber der Regierung offengelegt hatte, dass diese Sicherheitslücken jedoch bereits vor diesen Offenlegungen bestanden und danach in anderen Illumina-Produkten bestehen blieben, wodurch die Integrität der Testdaten der Produkte gefährdet und die Vertraulichkeit der Patientendaten beeinträchtigt wurde. 

Empfehlungen

Auftragnehmer der Regierung und andere Empfänger von Bundesmitteln sollten die folgenden Maßnahmen in Betracht ziehen, um die Einhaltung der Cybersicherheitsvorschriften zu verbessern und das FCA-Risiko zu verringern:

1. Katalogisieren und überwachen Sie die Einhaltung aller staatlich vorgeschriebenen Cybersicherheitsstandards. Stellen Sie sicher, dass Ihre Organisation über eine umfassende Liste aller Cybersicherheitsanforderungen und betroffenen Systeme in Ihrer Organisation verfügt. Diese Anforderungen können sich nicht nur aus den Hauptverträgen der Regierung ergeben, sondern auch aus Unterverträgen, Zuschüssen oder anderen Bundesprogrammen. Dazu gehört nicht nur die ständige Kenntnis der Verträge der Organisation, sondern auch die kontinuierliche Überwachung und Bewertung des Cybersicherheitsprogramms der Organisation, um Schwachstellen zu erkennen und zu beheben sowie die Einhaltung der vertraglichen Cybersicherheitsstandards zu bewerten. Bei dieser Bewertung sollten auch die Beziehungen zu Dritten berücksichtigt werden.
2. Entwickeln und pflegen Sie ein robustes und wirksames Compliance-Programm, das sich mit Fragen der Cybersicherheit befasst. In vielen Unternehmen sind das Compliance-Programm und die Funktionen der Informationssicherheit nicht gut integriert. Ein wirksames Compliance-Programm befasst sich mit Fragen der Cybersicherheit und ermutigt die Mitarbeiter, solche Bedenken zu melden. Wenn Bedenken festgestellt werden, ist es wichtig, diese unverzüglich zu eskalieren und zu untersuchen. Unternehmen sollten darauf achten, dass es keine Vergeltungsmaßnahmen gegen Mitarbeiter gibt, die in gutem Glauben Bedenken melden.
3. Wenn Verstöße gegen Cybersicherheitsstandards festgestellt werden, sollten Unternehmen mögliche nächste Schritte prüfen. Dazu gehört auch die Frage, ob die Angelegenheit den Behörden gemeldet und mit den Ermittlungsbehörden kooperiert werden soll. Unternehmen sollten sich in dieser Hinsicht von erfahrenen Rechtsberatern unterstützen lassen. Die proaktive Ausarbeitung einer Strategie zur Untersuchung und Reaktion auf mögliche Verstöße kann Disziplin in den Prozess bringen und den Ansatz des Unternehmens optimieren. Ein proaktiver Ansatz kann zudem die Auswirkungen der Folgen im weiteren Verlauf abmildern. 

Wenn Sie Fragen zur Cybersicherheit und zum False Claims Act haben, wenden Sie sich an die Autoren oder an Ihren Anwalt bei Foley & Lardner.