前情回顾·全球网络安全执法

安全内参6月19日消息,美国知名咨询公司Guidehouse和Nan McKay and Associates(NMA)在新冠(COVID-19)援助部署过程中存在网络安全缺陷,被控违规。这两家公司已同意支付总计1130万美元(约合人民币8200万元)的罚款。

具体来说,Guidehouse(前身为普华永道美国公共部门,总部位于弗吉尼亚州麦克莱恩)支付760万美元,NMA(总部位于加利福尼亚州埃尔卡洪)支付370万美元。根据和解协议,揭发此事的前Guidehouse员工将获得194.925万美元(约合人民币1414万元)的奖励。

对于去年收入高达55亿美元的Guidehouse来说,这笔罚金微不足道。相比之下,NMA的年收入大约为1.9亿美元。

美国司法部上月发布的和解协议披露了事件详情。两家公司被纽约州选中管理该州的紧急租赁援助计划(ERAP)。ERAP由美国国会在2021年初建立,覆盖美国全境,是联邦政府新冠疫情救济资金计划的一部分。在疫情封锁期间,这些安全网计划为低收入人群提供财政援助,帮助他们支付租金、水电费和其他与住房相关的费用。

参与该计划的每个州都需选择一个机构向符合条件的租户和房东分配联邦资金。在纽约州,临时和残障援助办公室负责该任务,并在2021年5月与Guidehouse签订了一份3.1亿美元的合同,指定其为主要承包商,负责向纽约居民提供ERAP技术和服务。NMA作为Guidehouse的分包商,负责向纽约州居民提供提交租赁援助在线申请的ERAP系统。

两家咨询公司本应确保,该ERAP应用程序在部署前经过适当的网络安全测试。但根据和解协议,NMA和Guidehouse在测试工具未能发挥作用的情况下,依然批准应用程序上线。

NMA的和解文件中提到:“最终,Guidehouse和NMA都未能履行完成生产前网络安全测试的义务。”

尽管如此,纽约州的ERAP还是按计划于2021年6月1日上线,个人敏感信息的泄露几乎立即开始。在ERAP应用程序上线约12小时后,临时和残障援助办公室通知两家咨询公司,申请者的某些数据已经泄露到互联网上。

法院文件称:“NMA与Guidehouse经过协商,聘请了第三方展开调查,确认没有未经授权者查看或使用个人身份信息(PII)。但是,小部分群体的个人身份信息被商业搜索引擎访问,触发了ERAP主合同约定的‘信息安全泄露’协议。”

作为和解协议的一部分,Guidehouse和NMA都承认,如果进行了合同规定的安全测试,可能避免上述数据泄露。此外,Guidehouse还在和解协议中承认,从11月10日至12月14日期间,其使用了未获得纽约州批准的某个“第三方数据云软件程序”存储个人身份信息,违反了合同条款。

纽约北区检察官Carla Freedman表示:“获得联邦资金的承包商必须认真履行其网络安全义务。我们将继续追究实体和个人在明知情况下未能实施和遵循保护敏感信息的网络安全要求的责任。”

NMA向外媒The Register发送声明,表示不打算进行任何改变。一位发言人告诉The Register:“NMA很高兴与政府达成和解,以解决所有指控而无需承认在《虚假申报法》下的任何责任。”

“成立40多年来,NMA因行业领先的人才、流程和技术,享有全美公认的最可信的住房计划管理公司的美名。我们在2024年5月13日与美国司法部达成的和解协议对这些没有任何影响。”

参考资料:https://www.theregister.com/2024/06/17/guidehouse_nma_fined/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。