Як підрядник Пентагону змарнував кіберзахист на 4.5 млн $

MORSE Corp, військовий підрядник США, піддається штрафу у розмірі 4.5 млн $ за махінації зі звітами про кібербезпеку та халатне ставлення до захисту секретних державних даних.

MORSE Corp, фірма, яка обслуговує потреби армії США та Повітряних Сил, взяла на себе зобов’язання дотримуватися вимог кібербезпеки, викладених у NIST SP 800-171. Але, в період з 2018 по 2023 рік, вона систематично не дотримувалася цих стандартів: використовувала ненадійну сторонню поштову службу, свідомо спотворювала результати аудитів безпеки – у 2021 році подала оцінку 104 бали зі 110 можливих, хоча незалежний аудит показав результат -142, — а також не мала навіть елементарного плану кіберзахисту своїх інформаційних систем. Попри ці численні порушення, компанія продовжила отримувати значні державні контракти, в тому числі угоду на 241 мільйон $ із Пентагонівським центром штучного інтелекту.

• MORSE спеціалізується на створенні алгоритмів для автономних бойових систем.
• Незважаючи на відсутність базового захисту, отримувала мільйонні підряди від Пентагону.
• Міноборони та слідчі агентства розцінили її звіти як шахрайство (False Claims Act).
• Інформатор, який повідомив про махінації, отримає $851,000 як частину компенсації.

Кібератаки – це не лише проблеми хакерів. Коли контракти на мільйони доларів виконують компанії, котрі не забезпечили собі базовий захист, це створює загрозу національній безпеці. Цей приклад демонструє, що держава припинила поблажливість навіть до «своїх» та готово карати за невиконання кібербезпекових вимог.