Otros acuerdos sobre ciberseguridad de la FCA ponen de relieve las prioridades del Departamento de Justicia en materia de cumplimiento normativo

El Departamento de Justicia de los Estados Unidos (DOJ) anunció recientemente otro acuerdo extrajudicial que demuestra que el DOJ sigue dando prioridad a la aplicación de la normativa sobre ciberseguridad en virtud de la Ley de Reclamaciones Falsas (FCA). Según elcomunicado de prensa, el contratista gubernamental Illumina Inc. (Illumina) acordó pagar 9,8 millones de dólares para resolver su asunto relacionado con la FCA, que surgió a raíz de las acusaciones relacionadas con las prácticas de ciberseguridad de la empresa en relación con los contratos gubernamentales, un área prioritaria que hemos visto cada vez más destacada en los recientes acuerdos del DOJ.

El acuerdo Illumina

Illumina es una empresa de biotecnología que fabricaba y vendía sistemas de secuenciación genómica —tecnología utilizada en pruebas genéticas para determinar las secuencias de ADN de los organismos— a diversas agencias federales. La antigua directora de gestión de carteras y programas de Illumina presentó una demanda qui tam en septiembre de 2023 después de que, supuestamente, Illumina la despidiera por plantear ciertas preocupaciones sobre ciberseguridad. 

Según el acuerdo transaccional, los sistemas de secuenciación genómica de Illumina funcionaban con el software Local Run Manager (LRM) y/o Universal Copy Service (UCS), que presentaban vulnerabilidades de ciberseguridad, e Illumina no contaba con el programa de seguridad del producto ni con las medidas de calidad necesarias para identificar y abordar estas vulnerabilidades. Al igual que en otros acuerdos recientes de la FCA en materia de ciberseguridad, no se alegó que se hubiera producido una violación real de la ciberseguridad en relación con los productos de Illumina. Sin embargo, el Departamento de Justicia consideró que las reclamaciones de Illumina para que estas agencias federales pagaran por sus productos eran falsas, alegando que Illumina (i) no incorporó deliberadamente «la ciberseguridad de los productos en el diseño de su software»; (ii) «no prestó el apoyo y los recursos adecuados» a sus esfuerzos en materia de seguridad de los productos; (iii) «no corrigió adecuadamente las características de diseño que introducían vulnerabilidades de ciberseguridad» en los productos; y (iv) afirmó falsamente que el software cumplía determinadas normas de ciberseguridad. 

Illumina niega estas acusaciones, pero acordó pagar casi 10 millones de dólares para resolver las reclamaciones, de los cuales el denunciante recibirá 1,9 millones de dólares como denunciante qui tam. 

La conducta que dio lugar al acuerdo tuvo lugar entre 2016 y 2023. En particular, la demanda alegaba que Illumina había revelado previamente al Gobierno vulnerabilidades de seguridad en dos de sus productos en relación con determinadas retiradas del mercado en 2022 y 2023, pero que estas vulnerabilidades eran anteriores a dichas revelaciones y permanecieron en otros productos de Illumina posteriormente, lo que amenazaba la integridad de los datos de las pruebas de los productos y comprometía la confidencialidad de los pacientes. 

Recomendaciones

Los contratistas gubernamentales y otros beneficiarios de fondos federales deben considerar las siguientes medidas para mejorar el cumplimiento de la ciberseguridad y reducir el riesgo de la FCA:

1. Catalogue y supervise el cumplimiento de todas las normas de ciberseguridad impuestas por el gobierno. Asegúrese de que su organización dispone de una lista completa de todos los requisitos de ciberseguridad y sistemas cubiertos en su organización. Estos requisitos pueden provenir no sólo de contratos gubernamentales principales, sino también de subcontratos, subvenciones u otros programas federales. Esto incluye no sólo el conocimiento permanente de los contratos de la organización, sino también la supervisión y evaluación continuas del programa de ciberseguridad de la organización para identificar y parchear vulnerabilidades y evaluar el cumplimiento de esas normas contractuales de ciberseguridad. Esta evaluación también debe tener en cuenta las relaciones con terceros.
2. Desarrollar y mantener un programa de cumplimiento sólido y eficaz que aborde las cuestiones relacionadas con la ciberseguridad. En muchas empresas, el programa de cumplimiento y las funciones de seguridad de la información no están bien integrados. Un programa de cumplimiento eficaz abordará las preocupaciones en materia de ciberseguridad y animará a los empleados a informar de dichas preocupaciones. Cuando se identifican preocupaciones, es fundamental escalarlas e investigarlas con prontitud. Además, las empresas deben velar por que no se tomen represalias contra los empleados que informen de sus preocupaciones de buena fe.
3. Cuando se identifica un incumplimiento de las normas de ciberseguridad, las organizaciones deben evaluar los posibles pasos a seguir. Esto incluye decidir si revelar el asunto al gobierno y cooperar con los investigadores gubernamentales. Las organizaciones deben trabajar con asesores legales con experiencia en este ámbito. Trazar de forma proactiva una estrategia para investigar y responder a posibles incumplimientos puede inculcar disciplina en el proceso y agilizar el enfoque de la organización. Además, un enfoque proactivo puede mitigar el impacto de las consecuencias a largo plazo. 

Si tiene preguntas sobre ciberseguridad y la Ley de Reclamaciones Falsas, póngase en contacto con los autores o con su abogado de Foley & Lardner.