美国司法部(DOJ)近日宣布达成另一项和解协议,表明司法部继续将《虚假索赔法》(FCA)下的网络安全执法作为优先事项。 根据新闻稿,政府承包商Illumina公司(Illumina)同意支付980万美元以解决其涉及《虚假索赔法》的案件。该案件源于对其在政府合同相关网络安全实践的指控——这一重点领域在近期司法部和解协议中日益受到重视。
Illumina是一家生物技术公司,曾向多家联邦机构生产和销售基因组测序系统——该技术用于基因检测以确定生物体的DNA序列。该公司前投资组合与项目管理总监于2023年9月提起举报人诉讼,此前她因提出某些网络安全问题而被Illumina解雇。
根据和解协议,Illumina的基因组测序系统运行着存在网络安全漏洞的本地运行管理器(LRM)和/或通用复制服务(UCS)软件,且该公司未建立必要的产品安全计划或质量措施来识别并解决这些漏洞。 与近期其他《虚假索赔法》网络安全和解案例相同,本案并未指控Illumina产品实际发生过网络安全漏洞事件。但司法部仍认定Illumina向联邦机构收取产品费用的行为构成虚假索赔,指控其:(i)明知故犯地"未在软件设计中纳入产品网络安全措施"; (ii) "未能为产品安全工作提供充分支持和资源";(iii) "未能充分修正产品中引入网络安全漏洞的设计缺陷";(iv) 虚假宣称软件符合特定网络安全标准。
Illumina否认这些指控,但同意支付近1000万美元以和解相关索赔,其中举报人将作为举报人获得190万美元。
导致和解的行为发生于2016年至2023年间。值得注意的是,投诉书指控Illumina公司曾于2022年及2023年因特定召回事件向政府披露其两款产品的安全漏洞,但这些漏洞实则早于披露时间存在,且此后仍残留于其他Illumina产品中,威胁着产品检测数据的完整性并危及患者隐私安全。
政府承包商及其他联邦资金接收方应考虑采取以下措施,以加强网络安全合规性并降低《虚假索赔法》风险:
如果您对网络安全和《虚假索赔法》有任何疑问,请联系作者或您的 Foley & Lardner 律师。
