美国司法部(DOJ)近期的一项公告表明, 政府依据《虚假索赔法》(FCA)加强网络安全执法力度的态势并未减弱。 根据新闻稿,四家公司——RTX公司(RTX)、雷神公司(Raytheon)、夜翼集团有限责任公司(Nightwing Group LLC)及夜翼情报解决方案有限责任公司(Nightwing Intelligence Solutions LLC,统称夜翼集团)——同意支付840万美元,以解决一起由举报人提起的《虚假索赔法》诉讼。该诉讼指控雷神公司及其前子公司未能遵守联邦合同中的网络安全要求。
雷神公司前工程总监布兰森·肯尼思·福勒于2021年8月提起举报人诉讼。根据美国国家标准与技术研究院特别出版物800-171(NIST SP 800-171)规定,雷神等联邦国防承包商及分包商必须实施特定网络安全管控措施。 但根据本案指控,雷神公司在履行联邦合同时涉嫌未达标。 指控核心指向雷神内部网络系统"DarkWeb"。据称雷神公司(a)在执行特定国防合同时,使用该系统存储、传输及开发受保护信息,而该系统本身未达NIST SP 800-171的网络安全标准;(b)未能为该内部系统制定必要的系统安全计划。
值得注意的是,雷神公司在2020年5月曾通知某些政府承包商,其信息系统未能符合联邦网络安全法规,随后部署了替代系统并停止使用暗网。但根据和解协议,雷神公司被指控未能在暗网上实施这些强制性安全要求,导致其所有基于暗网完成的联邦承包工作索赔均属虚假。
被告方否认这些指控,但 同意支付840万美元以解决相关指控。作为举报人,福勒先生将因和解协议获得超过150万美元的报酬。
最后,引发举报诉讼的行为发生在2015年至2021年间——远早于夜翼公司在2024年收购RTX网络安全业务的时间。这凸显了继受责任的重大风险,并强调了在尽职调查中评估目标公司网络安全合规性的重要性。
鉴于这些风险,国防承包商及其他联邦资金接收方(包括高校)应考虑采取以下措施以加强网络安全合规性并降低《虚假索赔法》风险:
若您对网络安全及《虚假索赔法》存在疑问,请联系本文作者或您的富乐律师事务所律师。
