Savunma yüklenicisi 9 milyon dolar ödedi, BT güvenlik iddialarını çözdü • Kayıt


NASA ve ABD ordusu için fırlatma araçları, füzeler ve uydular için tahrik ve güç sistemleri yapan Aerojet Rocketdyne, ürünlerinin federal hükümet sözleşmelerinde siber güvenlik gereksinimlerine uygunluğunu yanlış beyan ettiği suçlamalarını çözmek için 9 milyon dolar ödemeyi kabul etti.

El Segundo, California merkezli şirket, Amerikan uzay ve askeri müteahhitlik alanında, uzun vadeli geliştirme çabaları da dahil olmak üzere, derin bir geçmişe sahiptir. hipersonik seyir füzesi tasarım, yakın zamanda DARPA tarafından test edildi ve Aerojet Rocketdyne ve Lockheed Martin tarafından üretildi.

Anlaşma, eski Aerojet çalışanı Brian Markus tarafından açılan beş yıllık bir ihbar davasından kaynaklanıyor. Federal bölge yargıcı William Shubb geçen hafta onayladı [PDF] 2014 yılında siber güvenlik, uyumluluk ve kontrollerden sorumlu kıdemli direktör olarak savunma yüklenicisine katılan biz ve Markus arasında yapılan mahkeme dışı anlaşma. 2.61 milyon dolarlık hisse almaya hazırlanıyor. Yanlış İddialar Yasası kurtarma.

2017 şikayetinde Markus, şirketin bilgisayar sistemlerinin, federal hükümetin NASA ve Savunma Bakanlığı tarafından finanse edilen sözleşmeler için gerektirdiği minimum siber güvenlik standartlarını karşılamadığını iddia etti.

Markus, işe alındıktan hemen sonra, davasının şikayetine göre, Aerojet’in yetersiz personel ve federal siber güvenlik kurallarını karşılamak için yetersiz bütçeye sahip olduğunu tespit etti. [PDF].

Markus, kendisine şirketin BT güvenliğini iyileştirmek için 10 milyon ila 15 milyon dolar arasında bir bütçe ile birlikte beş ila 10 çalışandan oluşan bir dahili personel ve 25’e kadar yükleniciden oluşan harici bir personel vaat edildiğini iddia etti. Bunun yerine Markus, 3.8 milyon dolarlık bir bütçe, iki dahili personel ve yedi müteahhit aldığını iddia etti.

Ayrıca, Aerojet’in bilgisayar sistemleri federal düzenlemelere uymadı ve siber güvenlik sorulduğunda, savunma firması “hükümete yanıltıcı bilgi verdi” iddiasında bulundu. İşte 2017 şikayetinden bir alıntı:

Aerojet, 2014 yılında Emagined danışmanlık firmasıyla DFARS uyumluluğu, ve denetimin bulduğu davaya göre savunma yüklenicisi “yüzde 25’ten daha az uyumlu.” Mahkeme belgelerine göre, danışmanın raporunda ayrıca, Aerojet’in bilgisayar sistemlerini uyumlu hale getirmenin beş yıllık bir süre içinde 34.5 milyon dolardan fazlaya mal olacağı da ortaya çıktı.

Markus daha sonra şirketin yönetim kurulu için BT sistemlerinin “yama uygulanmamış, yanlış yapılandırılmış, güncelliğini yitirmiş ve bu nedenle siber saldırılara karşı savunmasız” olduğunu gösteren bir rapor hazırladığını iddia etti. Şirketin başkanı Warren Boley sunumdan haberdar olduğunda, Boley’nin iddiaya göre, yönetim kurulu Aerojet’in bilgisayarlarının federal yasalara uymadığını bilmesin diye değiştirdi.

Bir yıl sonra, Nisan 2015’te Ernest & Young, davaya göre Aerojet’in siber saldırılara karşı savunmasızlığını değerlendirdi.

Dava, “Dört saat içinde EY ekibi, Windows ağını tamamen tehlikeye atmak ve tüm sanıkların kullanıcı hesaplarını ve şifrelerini almak için sanıkların bilgisayar sistemlerindeki güvenlik açıklarını kullanabildi” iddiasında bulundu. “Erişilen bilgiler arasında CEO ve CFO’nun gelen kutusu ve yönetim kurulu strateji belgeleri ile birleşme ve satın alma dosyaları ve teknik belgeleri içeren ağ dosyaları yer aldı. Sosyal güvenlik numaraları ve maaş dahil olmak üzere çalışanların kişisel bilgilerine erişildi.”

EY ekibi ayrıca roket tasarım planları ve diğer sınıflandırılmamış teknik bilgilerle birlikte yasal belgelere de erişti ve mahkeme belgelerine göre Aerojet’in güvenlik kamerası görüntülerini görüntüleyip dinleyebilmek için güvenlik kameralarını uzaktan ele geçirdi.

Markus, Temmuz 2015’te Aerojet COO’su Mark Tucker ve CIO Jose Ruiz’in kendisinden savunma yüklenicisinin bilgisayar sistemlerinin federal kurallara uygun olduğunu belirten belgeleri imzalamasını istediğini iddia etti. Reddetti ve iki ay sonra kovulduğunu söyledi.

konserve ifadeler anlaşma hakkında, ABD’li avukatlar Markus’un eylemlerini alkışladılar.

Aerojet Rocketdyne (2021 net gelir: 142.8 milyon $) yanıt vermedi Kayıtyorum isteği.

Adalet Bakanlığı’nın Sivil Bölüm başkanı Başsavcı Yardımcısı Brian M. Boynton, “İçeriden bilgi ve teknik uzmanlığa sahip ihbarcılar, siber güvenlik başarısızlıklarının ve suistimallerinin bilinmesi konusunda önemli yardım sağlayabilir” dedi. ®



Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/07/11/aerojet_cybersecurity_whistleblower/

Yorum yapın