.
Em outubro passado, a Universidade Estadual da Pensilvânia (Penn State) foi processada por um ex-diretor de informação por supostamente falsificar relatórios de conformidade de segurança do governo.
O ação judicial [PDF]recentemente aberto, é um qui tam reclamação (em latim “quem também”), o que significa que foi apresentada em nome do governo dos EUA pelo ex-CIO Matthew Decker, que afirma que seu ex-empregador fraudou o governo sob a Lei de Reivindicações Falsas.
Em novembro de 2015, Decker, atualmente diretor de dados e informações do Laboratório de Propulsão a Jato da NASA, foi nomeado CIO e diretor de Serviços de Tecnologia da Informação no Laboratório de Pesquisa Aplicada (ARL) da Universidade, que trabalha para a Marinha dos EUA.
Isto ocorreu vários meses depois de um ataque atribuído a hackers na China violado Faculdade de Engenharia e Faculdade de Artes Liberais da Penn State. Decker foi contratado para garantir que a ARL cumprisse as regras de defesa federais para segurança de TI, especificamente DFARS 252.204-7012 e DFARS 252.204-7019 e NIST 800-171.
Em janeiro de 2016, Decker foi nomeado vice-reitor interino de Tecnologia da Informação da Penn State até o momento em que a universidade nomeasse um substituto permanente para esse cargo. Enquanto ocupava esse cargo duplo, ele participou de discussões de conformidade para a implementação do WorkDay, uma solução de planejamento de recursos empresariais (ERP) pela Penn State.
O processo diz que, embora Decker estivesse envolvido naquele projeto de ERP em toda a universidade, o projeto tratava seriamente das obrigações de conformidade. Mas Decker afirma que depois de deixar seu cargo interino, ele descobriu que a Penn State havia desconsiderado algumas de suas recomendações que podem ter deixado expostas informações não classificadas controladas (CUI).
Em agosto de 2020, Penn State anunciado o término de seu contrato com a Box, um serviço de armazenamento certificado pelo FedRamp (DFARS 252.204-7012), citando considerações de custo. Em seu lugar, adotou o Microsoft Office 365 OneDrive, que não atende aos requisitos governamentais para armazenamento de CUI.
O processo de Decker relata os esforços que ele supostamente fez desde a adoção do OneDrive para colocar os sistemas da Penn State em conformidade, mas ele afirma que isso não aconteceu. Após uma reunião em junho de 2022, ele relata que “a Penn State nunca alcançou a conformidade real do DFARS e, portanto, atestou falsamente a conformidade desde 1º de janeiro de 2018”.
De acordo com a primeira reclamação alterada, “Embora a Penn State tenha fornecido auto-atestados de conformidade para [the US Department of Defense] conforme exigido desde 31 de dezembro de 2017, eram falsos.”
Diga-nos, você está sendo honesto?
NIST 800-171, publicado inicialmente em junho de 2015 e revisado intermitentemente desde então, inclui mais de 100 requisitos. Os empreiteiros de defesa são obrigados a apresentar um Plano de Segurança do Sistema (SSP) como parte da conformidade com o NIST.
Mas a determinação da conformidade fica a cargo dos empreiteiros – não existe um organismo de certificação ou procedimento de auditoria oficial. Conforme descrito na ação judicial, os empreiteiros devem autoavaliar e autoatestar a conformidade e pontuar seu sucesso usando um sistema baseado em pontos com base nos requisitos.
Essas pontuações devem ser submetidas ao Sistema de Risco de Desempenho de Fornecedores (SPRS) do Departamento de Defesa antes da concessão ou renovação de um contrato. Mas, conforme alegado na denúncia, essas pontuações foram simplesmente inventadas.
“Nenhum SSP foi produzido; em vez de sistemas específicos ou proprietários de espaços de computação de pesquisa, os registros se referiam apenas genericamente a faculdades ou institutos; nenhuma avaliação de risco adequada DFARS 7020 foi realizada; e as avaliações de risco que foram carregadas eram apenas modelos em para ‘marcar a caixa…’”, afirmam os documentos do tribunal.
A reclamação conclui: “A Penn State não tem SSPs. As entradas do SPRS da Penn State são falsificadas. Existem dezenas de projetos onde a Penn State atestou a conformidade, mas nunca a cumpriu. Até hoje, a Penn State não parece estar trabalhando para a conformidade.”
Se o governo decidir intervir e assumir o caso antes do dia 29 de Setembro prazo final [PDF] definido pelo juiz, o “relator” que apresenta a reclamação pode partilhar os fundos recuperados de um processo bem sucedido. E se o governo não intervir, o “relator” ainda poderá prosseguir com o caso.
Numa declaração enviada por e-mail, um porta-voz da universidade não contestou as reivindicações do processo, citando uma política de não comentar sobre litígios pendentes, mas insistiu que a universidade leva a sério os requisitos de conformidade.
“A Penn State se dedica à conformidade e leva muito a sério suas obrigações de conformidade, incluindo suas obrigações de segurança cibernética sob contratos do governo federal”, disse o porta-voz.
“A universidade alocou recursos significativos para manter a conformidade com estes e outros requisitos federais. A Penn State trabalhou e continua a trabalhar de forma cooperativa e colaborativa com o governo para resolver quaisquer questões. A Universidade normalmente não comenta sobre litígios pendentes e abordará essas alegações no momento apropriado.” ®
.
