美国司法部(DOJ)近期公告重申, 《虚假索赔法》(FCA)下网络安全要求的执法仍是持续存在的风险。 根据新闻稿,国防承包商MORSECORP公司(MORSE)同意支付460万美元以解决一起《虚假索赔法 》案件。该案源于举报人提起的诉讼 ,指控MORSE未能遵守美国国防部(DOD)的特定网络安全要求。这是司法部网络安全执法领域最新达成的和解协议,此前Foley律师事务所曾对此议题进行过报道。
举报人凯文·贝里奇(MORSE公司安全主管)于2023年1月依据《虚假索赔法》对MORSE公司及其首席执行官提起诉讼。 MORSE是一家软件开发公司,曾与美国陆军及空军签订主合同及分包合同。联邦法规规定,MORSE此类国防部合同必须实施美国国家标准与技术研究院特别出版物800-171(NIST SP 800-171)所列网络安全控制措施。 但贝里奇先生指控称,他目睹莫尔斯公司持续未能落实NIST SP 800-171控制措施,包括:未使用多因素认证、采用不合规的电子邮件及视频会议托管服务、允许员工使用个人设备访问公司系统并传输受控非机密信息(CUI)。
根据《反欺诈法》,举报人投诉需密封提交,仅与司法部共享,不向被告披露,以便司法部展开调查。历经两年多调查后,司法部于2025年3月宣布与莫尔斯公司及贝里奇先生达成460万美元和解协议。公告显示,莫尔斯公司承认其:
值得注意的是,该和解协议并未表明存在任何涉及非机密信息或其他受保护信息的泄露或其他安全漏洞;相反,本案似乎是基于此类泄露事件可能发生的假设而展开的。 可能 因MORSE公司达不到标准的网络安全计划而发生。
莫尔斯和解案揭示了忽视网络安全管控优先级的风险,尤其考虑到《反欺诈法》举报诉讼 可由内部人员提起——正如发起该诉讼的莫尔斯公司安保主管所示。此案同时凸显了司法部对网络安全执法的持续关注,包括2021年启动的司法部网络欺诈专项行动,该行动在现任特朗普政府时期似乎仍在全速推进。
鉴于这些风险,国防承包商及其他联邦资金接收方(包括高校)应考虑采取以下措施以加强网络安全合规性并降低《虚假索赔法》风险:
