.
Os EUA estão processando uma de suas principais universidades de pesquisa por uma série de supostas falhas no cumprimento dos padrões de segurança cibernética definidos pelo Departamento de Defesa (DoD) para os vencedores de contratos.
O Georgia Institute of Technology (GIT), comumente conhecido como Georgia Tech, e sua entidade contratante, a Georgia Tech Research Corporation (GTRC), estão sendo investigados após relatos de informantes internos Christopher Craig e Kyle Koza sobre supostas falhas na proteção de informações não classificadas controladas (CUI).
A série de alegações remonta a 2019 e continuou por anos depois, embora Koza tenha identificado os problemas já em 2018.
Entre as alegações está a sugestão de que, entre maio de 2019 e fevereiro de 2020, o Astrolavos Lab da Georgia Tech — ironicamente um grupo que se concentra em questões de segurança cibernética que afetam a segurança nacional — falhou em desenvolver e implementar um plano de segurança cibernética que estivesse em conformidade com os padrões do DoD (NIST 800-171).
Quando o plano foi implementado em fevereiro de 2020, o processo alega que ele não tinha um escopo adequado — nem todos os pontos finais necessários foram incluídos — e que, durante anos depois, a Georgia Tech não conseguiu manter o plano em conformidade com os regulamentos.
Além disso, o Astrolavos Lab foi acusado de não implementar soluções antimalware em todos os dispositivos e na rede do laboratório. O processo alega que a universidade aprovou a recusa do laboratório em implantar o software antimalware “para satisfazer as demandas do professor que chefiava o laboratório”, disse o DoJ. Isso teria ocorrido entre maio de 2019 e dezembro de 2021.
Recusar-se a instalar soluções anti-malware em um contratante como esse não é permitido. Na verdade, isso viola os requisitos federais e as próprias políticas da Georgia Tech, mas supostamente aconteceu de qualquer maneira.
A universidade e o GTRC também teriam enviado uma pontuação falsa de avaliação de segurança cibernética em dezembro de 2020 — uma exigência para que todos os contratados do DoD demonstrem que estão atendendo aos padrões de conformidade.
As duas organizações são acusadas de atribuir a si mesmas uma pontuação de 98, que mais tarde foi considerada fraudulenta com base em vários fatores.
Para resumir, a questão gira em torno da alegação de que a avaliação foi realizada em um ambiente “fictício” e, portanto, com base nisso, a pontuação não foi dada a um sistema relacionado ao contrato do DoD, alegam os EUA.
As alegações estão sendo feitas sob a Lei de Falsas Reclamações (FCA), que está sendo utilizada pela Iniciativa Civil de Fraude Cibernética (CCFI), que foi introduzida em 2021 para punir entidades que conscientemente colocam em risco a segurança dos sistemas de TI dos Estados Unidos.
É um caso inédito sendo perseguido como parte do CCFI. Todos os casos anteriores trazidos sob o CCFI foram resolvidos antes de chegarem ao estágio de litígio.
“Como as alegações sugerem que a Georgia Tech certificou falsamente que estava em conformidade com os requisitos contratuais e regulatórios do DoD, elas apresentam um caso clássico de potencial responsabilidade da FCA com base na suposta não conformidade com os padrões do NIST”, afirma uma avaliação do caso feita por especialistas jurídicos da O’Melveny.
“A denúncia alega que o pessoal das equipes da Georgia Tech interpretou os controles do NIST de uma forma que lhes permitiu designar quaisquer ações que já estivessem tomando como ‘conformes’ e implementar interpretações que efetivamente tornaram os controles de segurança sem sentido.”
O caso foi movido originalmente em julho de 2022 por Craig, que ainda é afiliado à Georgia Tech como diretor associado de segurança cibernética, e Koza, formado pela Georgia Tech e ex-engenheiro principal de segurança da informação no GIT.
Os EUA entraram com uma ação de intervenção e rapidamente obtiveram uma concessão em junho de 2024, após anunciar sua intenção de se juntar ao processo contra a Georgia Tech e a GTRC em abril.
Autoridades dos EUA expressaram seu descontentamento com os réus, dizendo que eles colocam a segurança nacional e o pessoal de defesa em risco.
“Deficiências nos controles de segurança cibernética representam uma ameaça significativa não apenas à nossa segurança nacional, mas também à segurança dos homens e mulheres de nossas forças armadas que arriscam suas vidas diariamente”, disse o agente especial encarregado Darrin K Jones, do Departamento de Defesa, Gabinete do Inspetor Geral, Serviço de Investigação Criminal de Defesa (DCIS), Gabinete de Campo Sudeste.
“Como multiplicadores de força, depositamos uma confiança substancial em nossos contratados e esperamos que eles atendam aos padrões rigorosos que nossos militares merecem.”
“Os contratados do governo que não seguem e implementam completamente os controles de segurança cibernética necessários colocam em risco a segurança de informações e sistemas de informação governamentais sensíveis e criam riscos desnecessários à segurança nacional”, disse o principal procurador-geral adjunto Bryan Boynton da Divisão Civil. “Continuaremos a perseguir violações relacionadas à segurança cibernética sob a Iniciativa de Fraude Cibernética Civil do Departamento.”
Separadamente, a Georgia Tech também é alvo de uma investigação do Congresso sobre seu relacionamento potencialmente problemático com a China.
Desde 2013, a instituição fez uma parceria com a Universidade de Tianjin, que se acredita ter “laços significativos” com os militares chineses e que já foi incluída na lista negra por roubar tecnologia militar americana, e recebeu “milhões de dólares” da China para apoiar essa parceria.
A parceria deu frutos, como o primeiro semicondutor baseado em grafeno. Anunciado no início deste ano, acredita-se que com algum trabalho adicional, o material poderia superar o desempenho do silício.
A investigação realizada pelo Comitê Seleto da Câmara sobre o Partido Comunista Chinês só foi anunciada em maio deste ano, então levará algum tempo até que tenhamos notícias sobre sua conclusão.
O Reg abordou a Georgia Tech e a GTRC para uma resposta. Atualizaremos o artigo se algum deles responder. ®
.
