.png)
.png)
.png)
.png)
.
Os EUA estão processando uma de suas principais universidades de pesquisa por uma série de supostas falhas no cumprimento dos padrões de segurança cibernética definidos pelo Departamento de Defesa (DoD) para os vencedores de contratos.
O Georgia Institute of Technology (GIT), comumente conhecido como Georgia Tech, e sua entidade contratante, a Georgia Tech Research Corporation (GTRC), estão sendo investigados após relatos de informantes internos Christopher Craig e Kyle Koza sobre supostas falhas na proteção de informações não classificadas controladas (CUI).
A série de alegações remonta a 2019 e continuou por anos depois, embora Koza tenha identificado os problemas já em 2018.
Entre as alegações está a sugestão de que, entre maio de 2019 e fevereiro de 2020, o Astrolavos Lab da Georgia Tech — ironicamente um grupo que se concentra em questões de segurança cibernética que afetam a segurança nacional — falhou em desenvolver e implementar um plano de segurança cibernética que estivesse em conformidade com os padrões do DoD (NIST 800-171).
Quando o plano foi implementado em fevereiro de 2020, o processo alega que ele não tinha um escopo adequado — nem todos os pontos finais necessários foram incluídos — e que, durante anos depois, a Georgia Tech não conseguiu manter o plano em conformidade com os regulamentos.
Além disso, o Astrolavos Lab foi acusado de não implementar soluções antimalware em todos os dispositivos e na rede do laboratório. O processo alega que a universidade aprovou a recusa do laboratório em implantar o software antimalware “para satisfazer as demandas do professor que chefiava o laboratório”, disse o DoJ. Isso teria ocorrido entre maio de 2019 e dezembro de 2021.
Recusar-se a instalar soluções anti-malware em um contratante como esse não é permitido. Na verdade, isso viola os requisitos federais e as próprias políticas da Georgia Tech, mas supostamente aconteceu de qualquer maneira.
A universidade e o GTRC também teriam enviado uma pontuação falsa de avaliação de segurança cibernética em dezembro de 2020 — uma exigência para que todos os contratados do DoD demonstrem que estão atendendo aos padrões de conformidade.
As duas organizações são acusadas de atribuir a si mesmas uma pontuação de 98, que mais tarde foi considerada fraudulenta com base em vários fatores.
Para resumir, a questão gira em torno da alegação de que a avaliação foi realizada em um ambiente “fictício” e, portanto, com base nisso, a pontuação não foi dada a um sistema relacionado ao contrato do DoD, alegam os EUA.
As alegações estão sendo feitas sob a Lei de Falsas Reclamações (FCA), que está sendo utilizada pela Iniciativa Civil de Fraude Cibernética (CCFI), que foi introduzida em 2021 para punir entidades que conscientemente colocam em risco a segurança dos sistemas de TI dos Estados Unidos.
É um caso inédito sendo perseguido como parte do CCFI. Todos os casos anteriores trazidos sob o CCFI foram resolvidos antes de chegarem ao estágio de litígio.
“Como as alegações sugerem que a Georgia Tech certificou falsamente que estava em conformidade com os requisitos contratuais e regulatórios do DoD, elas apresentam um caso clássico de potencial responsabilidade da FCA com base na suposta não conformidade com os padrões do NIST”, afirma uma avaliação do caso feita por especialistas jurídicos da O’Melveny.
“A denúncia alega que o pessoal das equipes da Georgia Tech interpretou os controles do NIST de uma forma que lhes permitiu designar quaisquer ações que já estivessem tomando como ‘conformes’ e implementar interpretações que efetivamente tornaram os controles de segurança sem sentido.”
O caso foi movido originalmente em julho de 2022 por Craig, que ainda é afiliado à Georgia Tech como diretor associado de segurança cibernética, e Koza, formado pela Georgia Tech e ex-engenheiro principal de segurança da informação no GIT.
Os EUA entraram com uma ação de intervenção e rapidamente obtiveram uma concessão em junho de 2024, após anunciar sua intenção de se juntar ao processo contra a Georgia Tech e a GTRC em abril.
Autoridades dos EUA expressaram seu descontentamento com os réus, dizendo que eles colocam a segurança nacional e o pessoal de defesa em