关注我们
带你读懂网络安全
图片来源:defense.gov
雷神旗下网络安全部门CODEX未能遵守美国政府网络安全要求,长期使用不合规网络并存储了非密国防信息,遭到内部员工举报后与政府进行和解,支付超6000万元罚金。
前情回顾·网络安全合规执法
安全内参5月6日消息,美国国防承包商雷神公司(Raytheon)与夜翼集团(Nightwing)同意向政府支付840万美元(约合人民币6061万元),以和解雷神因未能提供足够网络安全防护、违反与国防部合同条款而面临的指控。
根据和解协议,自2015年8月至2021年6月,雷神公司旗下负责网络攻防的专家部门(CODEX)使用了一个未遵循政府网络安全标准的内部网络,并在该网络中存储了非机密的国防信息。
虽然雷神公司在5月1日签署的协议中未承认存在过失,但据称其未能制定一份详述安全措施的“系统安全计划”。
2020年5月,雷神公司曾告知政府客户,其所用网络不符合NIST规定的安全标准,公司正“开发一个更为稳健的系统环境”以取代原有网络。
美国政府网络安全合规执法日益严格
此次和解是依据《虚假申报法》(False Claims Act)进行的。该法案起源于美国南北战争时期,允许对违反政府合同条款的承包商提出民事赔偿。在近年来,该法律越来越多被用作强制政府承包商履行网络安全义务的执法工具。
今年3月,美国国防承包商MORSE公司同意支付460万美元,以和解其因使用第三方供应商托管电子邮件系统,却未确保其满足安全标准而引发的指控。而另一家承包商健康网联邦服务公司(HNFS)及其母公司Centene,则于2月因被指虚假宣称符合安全标准而达成1120万美元的和解。
雷神公司的本案由其前工程总监提出举报,该名吹哨人将从和解金额中获得超过150万美元的奖励。总部位于弗吉尼亚州的夜翼集团,曾隶属于雷神技术公司,并于2024年拆分为独立企业,是此案另一名被告。
雷神公司与夜翼集团尚未对置评请求作出回应。
参考资料:therecord.media
点击下方卡片关注我们,
带你一起读懂网络安全 ↓
📍发表于:中国 北京
