
美国司法部(DOJ)近日宣布达成另一项和解协议,表明司法部继续将《虚假索赔法》(FCA)下的网络安全执法作为优先事项。 根据新闻稿,政府承包商Illumina公司(Illumina)同意支付980万美元以解决其涉及《虚假索赔法》的争议。该争议源于对其在政府合同相关网络安全实践的指控——这一重点领域在近期司法部和解协议中日益受到关注。
伊利姆纳和解案
Illumina是一家生物技术公司,曾向多家联邦机构生产和销售基因组测序系统——该技术用于基因检测以确定生物体的DNA序列。该公司前投资组合与项目管理总监于2023年9月提起举报人诉讼,此前她因提出某些网络安全问题而被Illumina解雇。
根据和解协议,Illumina的基因组测序系统运行着存在网络安全漏洞的本地运行管理器(LRM)和/或通用复制服务(UCS)软件,且该公司未建立必要的产品安全计划或质量措施来识别并解决这些漏洞。 与近期其他《虚假索赔法》网络安全和解案例相同,本案并未指控Illumina产品实际发生过网络安全漏洞事件。但司法部仍认定Illumina向联邦机构索取产品付款的行为构成虚假陈述,指控其:(i)明知故犯地"未在软件设计中纳入产品网络安全措施"; (ii) "未能为产品安全工作提供充分支持和资源";(iii) "未能充分修正产品中引入网络安全漏洞的设计缺陷";(iv) 虚假宣称其软件符合特定网络安全标准。
Illumina公司否认这些指控,但同意支付近1000万美元以和解相关索赔,其中举报人将作为举报人获得190万美元。
导致和解的行为发生于2016年至2023年间。值得注意的是,投诉书指控Illumina公司曾在2022年和2023年因产品召回事宜向政府披露其两款产品的安全漏洞,但这些漏洞早于上述披露时间存在,且此后仍残留在其他Illumina产品中,威胁着产品检测数据的完整性并危及患者隐私。
建议
政府承包商及其他联邦资金接收方应考虑采取以下措施,以加强网络安全合规性并降低《虚假索赔法》风险:
- 记录并监督所有政府强制性网络安全标准的合规情况。 确保贵机构拥有涵盖所有网络安全要求及受管系统的完整清单。这些要求不仅可能源自政府主合同,也可能来自分包合同、拨款或其他联邦项目。这不仅需要持续掌握机构合同动态,还需对机构网络安全计划进行持续监控与评估,以识别并修复漏洞,同时评估其对合同网络安全标准的合规性。该评估还应涵盖第三方合作关系。
- 制定并维护一套针对网络安全问题的强效合规计划。在许多企业中,合规计划与信息安全职能尚未充分整合。有效的合规计划应涵盖网络安全问题,并鼓励员工主动上报相关隐患。一旦发现隐患,必须及时上报并展开调查。企业还应确保对善意上报问题的员工予以保护,杜绝任何报复行为。
- 当发现存在网络安全标准不合规情况时,组织应评估后续可能采取的措施。这包括是否向政府披露相关事项并配合政府调查人员。组织应就此与经验丰富的法律顾问合作。主动制定调查和应对潜在不合规行为的策略,可使流程规范化并优化组织应对方式。而采取主动措施或可减轻后续后果的影响。
若您对网络安全及《虚假索赔法》存在疑问,请联系本文作者或您的富乐律师事务所律师。