美国司法部(DOJ)近期与阿拉巴马州国防承包商LOGZONE公司(LOGZONE)达成的和解协议,有力地提醒我们:在联邦政府合同领域,网络安全缺陷不仅仅是技术问题——它们可能引发《虚假索赔法》(FCA)下的法律风险,特别是在承包商向政府虚报其合规状况的情况下。 根据和解协议,LOGZONE同意支付507,144美元,以解决其被指控在明知未遵守海军部两份合同的网络安全要求的情况下,仍就这些合同提交付款申请的指控。
该决议表明,即使在未发生任何数据泄露或其他安全事件的情况下,美国司法部仍坚持将涉嫌违反合同中网络安全要求的行为视为欺诈问题。 该新闻稿反映出的理论不仅基于未实施的安全控制措施的存在,还基于据称提交的合规相关信息未能准确反映该公司实际网络安全状况这一事实。这种组合——已知的缺陷加上不准确的合规声明——对于处理敏感国防信息的政府承包商而言,构成了《反欺诈法》(FCA)风险中尤为严峻的一个领域。
《和解协议》
涉事的两份海军合同均纳入了《国防联邦采购条例补充规定》(DFARS)第252.204-7012条,该条款要求处理受保护国防信息的承包商为受保护的承包商信息系统提供充分的安全保障,包括实施美国国家标准与技术研究院(NIST)特别出版物(SP)800-171中的安全要求。 相关框架还要求LOGZONE在“供应商绩效风险系统”(SPRS)中报告基于最新NIST SP 800-171自我评估得出的汇总级评分。
美国司法部指控称,从2021年5月至2025年3月,LOGZONE公司未能落实某些NIST SP 800-171控制措施;若不加以解决,这些措施可能导致系统遭到利用或敏感国防信息被窃取。 政府进一步指控称,尽管LOGZONE公司明知自身并未完全落实所有必需的控制措施,却仍在SPRS评估中提交了110分(即满分)的评分,并宣称已符合合规要求。
这些据称存在的缺陷是通过国防合同管理局对LOGZONE实施NIST SP 800-171控制措施情况的评估而曝光的。 据新闻稿称,此次评估结果显示,LOGZONE的得分仅为-170分,接近-203至110分评分范围的最低点。值得注意的是,此案并非由举报人或内部人员揭发——而是政府审计直接导致该案被移交至司法部处理的结果。
为何这项决议如此重要
该和解协议符合美国司法部利用《虚假索赔法》在政府合同中落实网络安全要求的更广泛举措。但这也凸显出承包商不应忽视的若干实际情况。
首先,网络安全合规性的检验标准是实际执行情况,而非纸面承诺。承包商可能已制定相关政策、计划或正在采取整改措施,但如果未落实必要的控制措施,且该公司继续根据要求实施这些控制措施的合同向政府开具账单,那么这些措施并不能消除其面临的风险。
其次,政府评估结果可能成为《反欺诈法》(FCA)案件解决的基础。在此案中,美国司法部将其指控与对内部控制实施情况的评估联系在一起。承包商应认识到,评估结果不佳——尤其是当结果表明所需内部控制存在重大缺陷时——可能会带来法律和运营方面的后果。值得注意的是,该和解协议并未表明存在“吹哨人”投诉或来自内部人员的其他举报。
第三,美国司法部在处理与网络安全相关的《反欺诈法》(FCA)案件时,无需指控存在安全漏洞。该新闻稿重点指出了未落实必要的控制措施,以及在要求实施这些控制措施的合同框架下提交付款索赔的行为。对于那些仍主要从事件响应角度看待网络安全执法的企业而言,这一点值得强调。
承包商需考虑的实际问题
对于从事受网络安全条款及相关评估义务约束的工程的承包商而言,LOGZONE和解案中揭示了若干实践经验。
- 确保评估结果、评分和认证的准确性。企业应将有关 NIST SP 800-171 实施情况的评分、认证及其他声明视为具有法律效力的陈述,而非行政上的走过场。此类提交材料应附有相关文件作为依据,并由既了解技术要求,又熟悉合同及法律影响的人员进行审核。
- 不要混淆当前实施情况与未来整改措施之间的界限。
企业可能会发现网络安全方面的缺陷,并通过适当的整改流程努力实现全面合规。但这与声称所有必需的控制措施均已实施是不同的。承包商在描述其当前网络安全状况时应做到准确无误。
- 应将不利的评估结果视为潜在的法律风险,而不仅仅是技术层面的反馈。如果政府 或第三方评估结果显示存在重大缺陷,应立即上报给法务、合规部门及高层管理层。若评估结果长期悬而未决,随着时间推移可能会引发更严重的问题。
- 评估已知存在缺陷情况下的计费风险。如果 合同要求实施特定的网络安全控制措施,而承包商明知这些控制措施尚未实施,且此前提交的合规相关材料存在不准确之处,则继续提出付款索赔可能会带来重大风险。
- 应记录合规性判定依据。承包商应能够说明评估结论的得出过程、提交认证或评分时可用的信息,以及当时正在采取的整改措施。在任何后续调查中,同期记录都将至关重要。