美国政府正在对Penn State大学提起法律诉讼,依据的是《虚假索赔法》,指控该大学在与联邦政府签约时谎报或误导其遵循政府网络安全协议的情况。此案的起诉人Matthew Decker是Penn State一研究实验室的首席信息官,他还在2016年短暂担任过该大学的临时副教务长和CIO。Decker的主张与证词构成了本次诉讼的基础。
蚂蚁加速加速器下载与所有国防承包商类似,Penn State在工作中会生成一种叫做“控制的非机密信息”的数据,虽然这些数据并不属于官方机密,但仍需按照严格规定进行管理,以防止恶意人员利用这些信息来拼凑政府安全或程序中的漏洞。
承包商展示其负责任处理这些信息的最常见方式是遵循由国家标准与技术研究所NIST制定的联邦标准。这些标准包括22项为保护控制的非机密信息而设定的详细要求,涵盖数字和物理安全防护,以及审计、风险评估和安全配置。
根据正在拟定的新规定,某些承包商将被迫接受第三方评估以验证他们是否遵守NIST规则,但目前组织可以基本上向政府承诺遵循这些规则。根据Decker和联邦政府的说法,Penn State多年来虚假声称其遵循这些标准。
“尽管Penn State自2017年12月31日起按要求向国防部提供合规的自我声明,但这些都是虚假的,”诉讼中声称。
Penn State的IT运营分散在多个不同的组织中,而Decker的任务是让应用研究实验室遵循合规,他还被招聘为该大学的临时CIO,以帮助确定使其其他部门符合要求所需的措施。
Decker声称他在完成临时角色后发现某些大学项目在注册的供应商绩效风险系统Supplier Performance Risk System SPRS中缺失记录,这是一个用于监控承包商在采购方面表现的数据库。Decker指出,在他的继任者指示下,大学“仅仅上传了模板文档来解决缺失记录的问题”。
“SPRS中输入的风险评估分数、文档和不完整记录是故意虚假的,仅仅是为了“勾选”使得没有“缺失”记录,”诉讼声称。
在2020年,大学还涉嫌将其云服务从联邦政府认证的FedRAMP方案提供的Box转移至未认证的商业版本Microsoft 365 OneDrive。
当多个方在2022年对Penn State可能未遵循联邦网络安全要求的NASA合同表示担忧时,Penn State的新任临时CIO“认为Penn State政策AD95是基于NIST 800171标准,因此在OIS基于AD95发布了操作授权的地方,PSU是合规的。”
Decker和政府声称,Penn State提到的政策并不符合关于控制非机密信息的NIST标准,大学后来的审查发现,“Penn State从未达到实际的合规性,因此自2018年1月1日起就虚假声明自己合规。”
诉讼称“至今,Penn State似乎没有在朝着与联邦标准保持合规的方向努力。”
Penn State的诉讼标志着政府在对承包商的问责方面迈出的首步,这是因为司法部去年宣布将启动一
