宾夕法尼亚州立大学(Pennsylvania State University)已同意向司法部支付 125 万美元,以了结向联邦政府虚假陈述其网络安全合规性和不当保护敏感数据的指控。
司法部与宾夕法尼亚州立大学之间的和解令解决了两年前由该校前首席信息官揭发的一起法庭案件中的指控。马修-戴克(Matthew Decker)代表政府提起诉讼(被称为 “qui tam complaint”),声称他的前雇主从未执行过国家标准与技术研究院(NIST)在与五角大楼和美国国家航空航天局(NASA)签订的合同中规定的网络安全要求。
根据法庭文件,司法部接手了此案并达成和解,其指控与德克尔的指控相同。
司法部在和解协议中称,宾夕法尼亚州立大学未能遵守 NIST SP 800-171,该标准概述了非政府实体必须如何存储受控非机密信息(CUI)的要求。宾夕法尼亚州立大学、国防部和美国国家航空航天局之间的 15 份合同涉及为这些机构 “收集、开发、接收、传输、使用或存储 ”此类信息,因此必须遵守 NIST 法规。
司法部称:“宾夕法尼亚州立大学没有执行 NIST SP 800-171 的某些安全要求,也没有充分记录、制定和执行旨在纠正缺陷的行动计划。”
该和解协议还称,宾夕法尼亚州立大学在 2020 年底告诉政府它没有执行所有的要求,但它从未采取措施来解决这一问题。
司法部称,“宾夕法尼亚州立大学还涉嫌故意误报……它预计实施 NIST SP 800-171 对这些系统提出的全部 110 项要求的日期,并且没有为实施这些要求制定行动计划。”
此外,政府认为宾夕法尼亚州立大学(与德克尔一样)放弃了与符合政府标准的云主机 Box 签订的合同,转而使用不符合 NIST CUI 安全要求的 OneDrive,以节省开支(希望超过 125 万美元)。
由于德克尔提起了最初的诉讼,因此他有资格从和解协议中分一杯羹,司法部表示他将从和解协议中获得 25 万美元。
宾夕法尼亚州立大学(在这只秃鹰的故乡,宾夕法尼亚州立大学被称为另一所原始赠地大学)向《注册》表示,和解并不是宾夕法尼亚州立大学承认自己有罪,并重申了我们在 2023 年报道德克尔投诉时宾夕法尼亚州立大学告诉我们的,宾夕法尼亚州立大学已投入大量资源履行其义务并加强网络安全。
宾夕法尼亚州立大学的公开声明通常是这样的:宾夕法尼亚州立大学只想忘记过去。
宾夕法尼亚州立大学发言人告诉我们:“学校希望避免代价高昂、令人分心的诉讼,并解决我们的政府赞助商可能与此事有关的任何顾虑,同时,他还确保我们知道这个所谓的安全故障实际上从未造成任何实际伤害。”
该发言人说:“我们的研究赞助商没有暗示任何与此事有关的非机密信息受到过损害。”