因网络安全违规遭重创：司法部公布针对佐治亚理工学院的《虚假索赔法》诉讼

正如我们在2024年8月客户通告中所报道，今年早些时候美国司法部（DOJ）介入了一起由两名举报人提起的《虚假索赔法》（FCA）案件，指控佐治亚理工学院研究公司及佐治亚理工学院（Georgia Tech）违反了国防部（DoD）合同中多项网络安全要求。 司法部的介入再次印证了检察机关对追查网络安全相关欺诈行为的高度关注。

申诉书

2024年8月22日，美国司法部就佐治亚理工学院案件提交了长达99页的起诉书，该文件反映了诉前全面调查的结果。 诉状中，司法部大量引用内部邮件、即时通讯记录、其他通信内容及证词，指控被告作为政府承包商违反了适用于该机构的联邦网络安全法规。此外，这些证据支持司法部的指控：被告明知或因疏忽而不知其行为违反了相关法规。

例如，司法部指控一名前雇员作证称，在相当长一段时间内，相关网络安全要求"未得到执行"。在另一案例中，司法部援引了大量即时通讯记录，其中员工承认未遵守网络安全要求。 司法部另指控被告营造了"网络安全违规文化"，导致多年申报内容存在虚假。司法部要求被告赔偿约3000万美元（基于向政府开具的账单金额），该数额尚未计入《反欺诈法》规定的三重赔偿条款及每项索赔费用。

收获

司法部的起诉书揭示了以下重要要点：

• 这份近百页的详细指控书反映了调查的成果，其内容详尽周密。这彰显了司法部在推进2021年启动的《民事网络欺诈倡议》过程中展现的严谨态度。

• 政府对各类数据存储库（如电子邮件、即时通讯、PowerPoint演示文稿及其他材料）的审查，充分展现了其为调查和追查指控所采取的极端手段。因此，企业应注意制定适当的通讯及文件保留政策。

• 尽管司法部并未指控任何敏感信息实际遭到泄露，但其坚持认为国防部"为军事技术付费……却将其存储在无法防止未经授权泄露的环境中"。 司法部进一步指控称："国防部所获回报价值减损甚至毫无价值，未能实现交易预期效益。"换言之，即便未发生数据泄露或其他信息安全事件，司法部仍将追究相关责任。

• 在司法部介入之前，提起本案的举报人是佐治亚理工学院的现任及前雇员。由此可见，本案凸显了建立健全且有效的合规体系以确保合规文化的重要性。

• 此案只是司法部依据《虚假索赔法》追究网络安全违规指控的最新案例。司法部已表明其在该领域执法的严肃态度，此次介入及详尽的起诉书充分彰显了该机构在此方面的坚定立场。