又一家国防承包商未能满足美国联邦政府的网络安全要求，宣布与政府达成和解协议。

MORSE公司同意支付460万美元（约合人民币3340万元），以解决其涉嫌违反《虚假申报法》的指控。这部法律于1863年颁布，对向政府提供服务时作出虚假陈述的行为设定了民事处罚。

MORSE是一家国防科技公司，总部位于美国马萨诸塞州。公司由麻省理工学院校友创立，与美国陆军和空军有合同关系，专注于国家安全领域的软件和硬件开发。

MORSE连续多年未能满足NIST网络安全要求

据美国司法部称，MORSE使用第三方供应商托管电子邮件服务，但未能确保该供应商符合国家标准技术研究院（NIST）规定的安全要求。

和解协议指出，MORSE未能实施必要的网络安全措施，“可能导致网络被大规模利用，或受控国防信息被窃取。”

该公司还未能为其所有信息系统制定书面安全计划，包括详细说明系统边界、运行环境、安全要求的执行方式，以及与其他系统的关系或连接情况。

根据和解协议，MORSE在2021年进行了一次网络态势评估，夸大了自身的防护水准。在-210至110的评分范围内，该公司自评得分高达104。然而，次年受聘的审计员给出的评分却是-142，并指出该公司未能遵守78%的NIST标准要求。

MORSE在近一年时间内未向监管机构提交修订后的评分，直到调查人员向其发出传票后才提交。作为和解的一部分，MORSE承认未能达到联邦网络安全标准。

美政府加大网络安全违规执法

近年来，涉及网络安全的《反虚假申报法》执法行动有所加快。今年2月，一家为美国军方医疗系统提供支持的联邦承包商同意支付1100万美元罚款。而在去年，宾夕法尼亚州立大学和佐治亚理工学院因未能遵守安全标准，也分别被处以罚款。

2024年6月，美国司法部与联邦承包商Guidehouse和Nan McKay & Associates公司达成1130万美元的和解协议，原因是这两家公司在新冠疫情期间未能对纽约的财政援助系统进行适当的网络安全测试。

参考资料：https://therecord.media/defense-contractor-to-pay-millions-over-cyber-practices

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。