【安全资讯】美国国防承包商因网络安全失误支付460万美元和解赔偿

概要：

美国一家国防承包商MORSE Corp因未能满足军事合同的网络安全要求而支付460万美元和解赔偿。该公司承认在与美国陆军和空军的交易中存在多项网络安全失误，涉及虚假支付申请。此事件突显了国防行业在网络安全合规性方面的重大缺陷，可能对国家安全构成威胁。

主要内容：

MORSE Corp的网络安全失误包括在云安全方面的失误以及不准确的合规评分。根据检察官的说法，该公司在2018年使用第三方供应商托管电子邮件，但未确保该供应商符合联邦风险和授权管理计划（FedRAMP）的要求。此外，MORSE未能确认电子邮件提供商遵循五角大楼的事件报告、恶意软件处理和取证访问等规则。

在2018年至2021年间，MORSE未能为其系统制定全面的书面安全计划，尽管合同要求其记录系统边界、配置和外部连接。更为严重的是，MORSE在网络安全自我评估评分方面存在问题。根据和解协议，国防部承包商需报告其在实施NIST特别出版物800-171方面的评分，MORSE在2021年提交的评分为104，但在2022年由第三方咨询公司评估后，发现其实际评分为-142，表明仅实施了22%的必要控制措施。

最终，MORSE决定支付460万美元以解决这些指控，其中851,000美元将支付给举报的前员工。尽管MORSE否认任何不当行为，并声称其始终维护政府数据的安全，但这一事件无疑将对其未来与政府的合作产生影响。