Latest FCA Cybersecurity Settlement Shows Enforcement Remains a Priority Under Trump Administration

A recent United States Department of Justice (DOJ) announcement reinforces that enforcement of cybersecurity requirements under the False Claims Act (FCA) remains an ongoing risk. According to the press release, defense contractor MORSECORP Inc. (MORSE) agreed to pay US$4.6 million to resolve a FCA matter arising from a qui tam relator’s suit alleging that MORSE failed to comply with certain U.S. Department of Defense (DOD) cybersecurity requirements. This is the most recent settlement involving DOJ cybersecurity enforcement, a topic that Foley reported on previously.

The MORSE Settlement

Qui tam relator Kevin Berich, MORSE’s Head of Security, filed an FCA complaint against MORSE and its CEO in January 2023. MORSE is a software development company that had contracts and subcontracts with the U.S. Army and Air Force. Federal regulations dictate that DOD contracts like those entered into by MORSE require implementation of cybersecurity controls outlined in the National Institute of Standards and Technology Special Publication 800-171 (NIST SP 800-171). But Mr. Berich alleged that he witnessed MORSE continually fail to implement NIST SP 800-171 controls, including by failing to use multi-factor authentication, using non-compliant email and video call-hosting services, and using employee personal devices to access MORSE systems and transmit controlled unclassified information (CUI).

Under the FCA, a qui tam complaint is filed under seal, shared with DOJ, and not shared with the defendant so that DOJ can investigate the matter. After investigating for over two years, in March 2025, DOJ announced a settlement with MORSE and Mr. Berich for US$4.6 million. According to the announcement, MORSE admitted that it:

Used a third-party vendor for email hosting without ensuring that vendor met the necessary security requirements.
Failed to implement all NIST SP 800-171 controls or maintain a system security plan for its covered information systems.
Submitted a self-assessed score of 104 to DOD for its NIST SP 800-171 implementation and continued to report that score even after an outside audit notified MORSE that it failed to implement 78 percent of the required security measures and had an actual score of -142.

Notably, the settlement does not indicate that there were any breaches or other compromises of CUI or other protected information; rather, the case appears to have been premised on the possibility that such breaches could occur as a result of MORSE’s sub-standard cybersecurity program.

The MORSE settlement demonstrates the risk of failing to prioritize cybersecurity controls, especially given that FCA qui tam suits can be filed by insiders such as the Head of Security that initiated the MORSE suit. The case also underscores DOJ’s ongoing focus on cybersecurity enforcement, which includes the 2021 Department of Justice Cyber-Fraud Initiative and appears to be continuing full-steam ahead in the current Trump administration.

Recomendaciones

Teniendo en cuenta estos riesgos, los contratistas de defensa y otros receptores de fondos federales (incluidos los colegios y universidades) deben considerar los siguientes pasos para mejorar el cumplimiento de la ciberseguridad y reducir el riesgo de la FCA:

Catalogue and monitor compliance with all government-imposed cybersecurity standards. A first step is to ensure your organization has a comprehensive list of all cybersecurity requirements and covered systems in your organization. These requirements may come not only from prime government contracts but also subcontracts, grants, or other federal programs. This includes not only ongoing knowledge of the organization’s contracts, but also continuously monitoring and assessing the organization’s cybersecurity program to identify and patch vulnerabilities and to assess compliance with those contractual cybersecurity standards. This assessment should also consider third-party relationships, such as vendors or service providers.
Develop and maintain a robust and effective compliance program that addresses cybersecurity issues. In many companies, the compliance program and information security functions are not well integrated. An effective compliance program will address cybersecurity concerns and encourage employees to report such concerns. When concerns are identified, it is critical to escalate and investigate them promptly. As the MORSE settlement illustrates, it is critical to respond to employees’ concerns effectively.
Cuando se detecta un incumplimiento de las normas de ciberseguridad, las organizaciones deben evaluar los posibles pasos a seguir. Esto incluye si revelar el asunto al gobierno y cooperar con los investigadores del gobierno. Las organizaciones deben trabajar con un abogado experimentado en este sentido. Trazar proactivamente una estrategia para investigar y responder a posibles incumplimientos puede infundir disciplina al proceso y racionalizar el enfoque de la organización.

Descargo de responsabilidad

Foley & Lardner LLP ("Foley" o "la Firma") pone a disposición este blog únicamente con fines informativos. No pretende transmitir la posición jurídica de la Firma en nombre de ningún cliente, ni tampoco asesoramiento jurídico específico. Las opiniones expresadas en este artículo no reflejan necesariamente los puntos de vista de Foley & Lardner LLP, sus socios o sus clientes. En consecuencia, no actúe sobre la base de esta información sin buscar el asesoramiento de un abogado autorizado. Este blog no pretende crear, y su recepción no constituye, una relación abogado-cliente. La comunicación con Foley a través de este sitio web por correo electrónico, entrada de blog, o de otro modo, no crea una relación abogado-cliente para ningún asunto legal. Por lo tanto, cualquier comunicación o material que usted transmita a Foley a través de este blog, ya sea por correo electrónico, entrada de blog o de cualquier otra manera, no será tratado como confidencial o de propiedad. La información de este blog se publica "TAL CUAL" y no se garantiza que sea completa, exacta o actualizada. Foley no hace representaciones o garantías de ningún tipo, expresas o implícitas, en cuanto a la operación o el contenido del sitio. Foley rechaza expresamente todas las demás garantías, condiciones y representaciones de cualquier tipo, ya sean expresas o implícitas, ya se deriven de cualquier estatuto, ley, uso comercial o de otro tipo, incluidas las garantías implícitas de comerciabilidad, idoneidad para un fin determinado, titularidad y no infracción. En ningún caso Foley o cualquiera de sus socios, directivos, empleados, agentes o afiliados serán responsables, directa o indirectamente, bajo ninguna teoría legal (contrato, agravio, negligencia u otra), ante usted o cualquier otra persona, por cualquier reclamación, pérdida o daño, directo, indirecto especial, incidental, punitivo o consecuente, resultante de u ocasionado por la creación, uso o confianza en este sitio (incluyendo información y otros contenidos) o cualquier sitio web de terceros o la información, recursos o material al que se acceda a través de cualquiera de dichos sitios web. En algunas jurisdicciones, los contenidos de este blog pueden considerarse publicidad de abogados. En su caso, tenga en cuenta que resultados anteriores no garantizan un resultado similar. Las fotografías son sólo para fines de dramatización y pueden incluir modelos. Los parecidos no implican necesariamente la condición actual de cliente, socio o empleado.

[email protected]

Tampa 813.225.4161

Un hombre con traje oscuro y corbata roja sonríe a la cámara en un despacho moderno y luminoso, reflejo de la profesionalidad de los mejores abogados de Chicago.

[email protected]

Milwaukee 414.297.4987

Un hombre con traje azul y corbata sonríe a la cámara en un luminoso y moderno despacho de abogados, reflejo del ambiente profesional de los principales bufetes.

[email protected]

Tampa 813.225.5424

Información relacionada

Ver todas las entradas

11 de diciembre de 2025 Perspectivas sobre tecnología innovadora

La OCC emite otra carta interpretativa favorable a las criptomonedas: admisibilidad de las transacciones de criptoactivos sin riesgo para el capital.

El 9 de diciembre de 2025, la Oficina del Contralor de la Moneda (OCC) emitió la Carta Interpretativa 1188 (IL 1188), en la que confirmaba que los bancos nacionales pueden, como parte de su actividad bancaria, realizar transacciones sin riesgo con criptoactivos principales.

10 de diciembre de 2025 Asesor de la industria manufacturera

La guerra por el talento en la industria automotriz: cómo ganar la carrera por los trabajadores cualificados

Durante más de un siglo, el sector automovilístico se definió por la ingeniería mecánica, la fabricación y el dominio de las cadenas de montaje. Pero hoy en día, la industria está experimentando una transformación tecnológica tan profunda que está reescribiendo el ADN de la fabricación de automóviles.

3 de diciembre de 2025 Asesor de la industria manufacturera

Fabricado en China: lo que la industria automotriz debe saber sobre el auge mundial de la fabricación china de vehículos conectados en medio de las crecientes restricciones estadounidenses.

La industria automovilística china se ha globalizado, en gran parte gracias a los avances tecnológicos, las ventajas en términos de costes y la inversión extranjera a través de empresas conjuntas, especialmente en lo que respecta a los vehículos eléctricos (VE) y las tecnologías de vehículos conectados.

Latest FCA Cybersecurity Settlement Shows Enforcement Remains a Priority Under Trump Administration

The MORSE Settlement

Recomendaciones

Autor(es)

Joseph W. Swanson

Matthew D. Krueger

Jason Mehta

Información relacionada

La OCC emite otra carta interpretativa favorable a las criptomonedas: admisibilidad de las transacciones de criptoactivos sin riesgo para el capital.

La guerra por el talento en la industria automotriz: cómo ganar la carrera por los trabajadores cualificados

Fabricado en China: lo que la industria automotriz debe saber sobre el auge mundial de la fabricación china de vehículos conectados en medio de las crecientes restricciones estadounidenses.