近日,美国乔治亚理工学院(Georgia Tech)的网络安全实验室陷入了一场法律诉讼。实验室负责人Antonakakis博士因长期拒绝遵守美国国防部(DoD)的网络安全规范(例如安装杀毒软件),导致学校被美国联邦政府起诉。
著名安全实验室被控欺诈
Antonakakis领导的网络安全实验室此前获得了数百万美元的国防部研究项目资金,其中包括为国防项目开发重大技术项目,例如“Rhamnousia:通过张量分解和数据抓取来追踪网络攻击者”。
联邦政府指控称,Antonakakis及其实验室多年来未遵守基本的安全规范,甚至在明知不合规的情况下,依旧提交了研究项目的费用发票,这种行为构成了欺诈。
“从根本上说,国防部为军事技术项目支付了费用,但被告将这些技术存储在不安全的环境中,无法防止未经授权的访问和泄漏。被告甚至没有监控是否发生了信息泄露,这意味着即便信息已经发生泄露,国防部也无从得知。最终,国防部认为在该项目的投入毫无价值,未能获得应有的利益。”联邦政府在起诉书中如此写道。
网安博士强烈反对安装杀毒软件
Antonakakis博士和他领导的网络安全实验室长期反对安装杀毒软件,这直接违反了DoD的安全规范规定。根据NIST发布的《非联邦信息系统与组织中受控未分类信息的保护》800-171号特别出版物,处理或存储涉密信息的设备必须安装终端杀毒软件。然而,Antonakakis博士对此持强烈反对态度。
乔治亚理工的系统管理员曾要求Antonakakis博士遵守规定,但他在2019年的一封内部邮件中明确表示,安装杀毒软件这件事“无法接受”。实验室的IT主管被允许采取其他“缓解措施”,例如依赖学校的防火墙来提供额外的安全保护。然而,事实证明,这种“假设”是错误的。学校的网络也从未提供过杀毒保护,而且实验室中使用的笔记本电脑经常离开学校网络环境,这进一步加剧了安全风险。
乔治亚理工校方意识到实验室为遵守国防部合同规定后,决定暂停实验室合同的发票提交,以避免被控提交虚假付款请求。然而,在发票暂停提交几天后,Antonakakis最终同意在实验室安装杀毒软件。
尽管如此,联邦政府指出,学校从未承认其长期不合规的事实,且在不合规的情况下依旧提交了大量发票,这属于欺诈行为。
安全评估弄虚作假
乔治亚理工面临的第二个问题是,该校在自我评估安全性时,提交了虚假分数。根据NIST的规定,学校需要评估110项安全控制措施的实施情况。乔治亚理工提交了一份全校的“总体安全计划”,分数为98分,但实际上这个分数是基于一个虚构的模型,而不是各个实验室的真实情况。
校方并没有对每个实验室进行单独评估,而是统一提交了编造的“98分”作为实验室项目的分数。联邦政府对此表示不满,认为这种安全评估形同虚设,根本不反映实际的安全状况。
技术骨干成安全文化“毒瘤”
联邦政府认为,乔治亚理工之所以会出现如此松懈的安全管理,主要原因是研究人员认为遵守安全规范“太麻烦”。当核心研究人员成为抵触网络安全规定的”毒瘤“时,校方管理层往往选择妥协,而不是强制执行安全措施。
据前员工透露,乔治亚理工的高级领导层之所以向研究人员的要求让步,主要是因为这些研究人员能为学校带来大量政府合同资金。一名前员工称,学校的网络安全合规文化充斥着“反正领导都不重视安全,所以我也可以无视(安全)规定”的态度。
不过,并非所有人缺乏基本的安全意识。这起案件之所以曝光,正是因为乔治亚理工的IT部门内部有几位吹哨人站出来揭发实情。
乔治亚理工学院网络安全实验室的合规问题再次凸显了安全合规在学术研究中的重要性。尽管安全规定可能会给研究工作带来不便,但高校学术实验室的开放性使其极易成为国家间间谍活动的目标。
通过起诉乔治亚理工学院,美国政府向其他依赖政府资金的大学实验室也发出了警告:“如果不能严格遵守网络安全规范,就别想再获得政府资金。”
GoUpSec点评:如果知名大学网络安全实验室都忽视甚至排斥最基本的网络安全规范,那么其他政府资助的科研项目的安全合规问题只会更加令人担忧。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
