קבלן של מערכת הביטחון משלם 4.5 מיליון דולר על אי עמידה בתקני אבטחת סייבר

AI generated image
AI generated image

This post is also available in: English (אנגלית)

מורס קורפ, קבלן בכיר במחלקת ההגנה האמריקאית, הסכים לשלם 4.5 מיליון דולר כדי ליישב האשמות על אי עמידה בתקני אבטחת הסייבר הנדרשים בחוזים צבאיים. ההסדר, שהוכרז בשבוע שעבר, מגיע לאחר שנמצא כי החברה הפרה את ה-False Claims Act עם טענה כוזבת כי היא עומדת בפרוטוקולי אבטחה מחמירים הקשורים לחוזים שלה עם צבא ארה"ב וחיל האוויר האמריקאי.

בין ינואר 2018 לפברואר 2023, מורס לא יישמה באופן מלא את בקרות האבטחה שנקבעו על ידי הממשלה, ובמיוחד הנחיות Special Publication (SP) 800-171 של המכון הלאומי לתקנים וטכנולוגיה (NIST). נפילות אלה הותירו את הרשת שבאחריותה חשופה לאיומי סייבר, מה שהיה עלול לגרום לחשיפה של מידע ביטחוני רגיש ולפריצה. משרד המשפטים האמריקאי הדגיש כי הרשלנות של החברה עלולה לסכן נתונים צבאיים קריטיים ולהגדיל את הסיכון להתקפות סייבר זדוניות.

המקרה חשף מספר רשלנויות משמעותיים בשיטות אבטחת הסייבר של מורס. בין השנים 2018 ל-2022, החברה השתמשה בספק דואר אלקטרוני חיצוני מבלי להבטיח עמידה בדרישות האבטחה של ה-DoD. בנוסף, הערכה פנימית של אבטחת סייבר שהגישה מורס בתחילת 2021 דיווחה באופן כוזב על ציון אבטחה כמעט מושלם של 104 מתוך 110, כאשר ביקורת של צד שלישי שבוצעה לאחר מכן חשפה ציון אמיתי של מינוס 142. אי התאמה זו לא תוקנה עד יוני 2023, לאחר שחקירה פדרלית נפתחה.

יתר על כן, למורס לא הייתה תוכנית מקיפה לאבטחת סייבר עבור המערכות שלה עד 2021, ורשת הדוא"ל שלה לא עמדה בדרישות הבסיסיות לדיווח על אירועים והגנה על תוכנה, וחשפה חולשות נוספות בפעילותה.

ההסדר מדגיש את ההתמקדות הפדרלית הגוברת בהבטחת עמידה בתקני אבטחת סייבר בחוזים ביטחוניים. עליית איומי הסייבר המכוונים למערכות צבאיות הגבירה את הצורך באמצעי הגנה חזקים ברשתות קבלן. כחלק מההסכם, מורס קיבלה על עצמה את האחריות להפרות, והאדם שחשף את ההונאה יקבל 851,000 דולר מההסדר.

מקרה זה משמש כתזכורת חריפה לצורך הקריטי של קבלנים לעמוד בתקני אבטחת הסייבר על מנת להגן על מידע רגיש הקשור לצבא ולהגנה.