承包政府系统上线前未做安全测试,两家知名企业被罚8200万元

2024-06-20 15:14

据美国科技新闻网站The Register 6月17日报道显示,美国知名咨询公司Guidehouse((前身为普华永道美国公共部门)和Nan McKay andAssociates(NMA)在新冠(COVID-19)援助过程中,违规提交ERAP(紧急租赁援助计划)应用程序,在测试工具未能发挥作用的情况下,依然批准应用程序上线,未能履行完成生产前网络安全测试的义务,造成申请人的敏感信息泄露,Guidehouse和NMA被罚分别支付760万美元、370万美元,合计1130万美元(约合人民币8200万元)的罚款。而根据美国司法部上月发布的和解协议,揭发此事的前Guidehouse员工将获得194.925万美元(约合人民币1414万元)的奖励。

承包政府系统上线前未做安全测试,两家知名企业被罚8200万元.jpg

美国司法部发布的和解协议披露了事件详情,以下为主要内容。

ERAP由美国国会在2021年初建立,覆盖美国全境,是联邦政府新冠疫情救济资金计划的一部分。在疫情封锁期间,ERAP计划为低收入人群提供财政援助,帮助他们支付租金、水电费和其他与住房相关的费用。参与该计划的每个州都需选择一个机构向符合条件的租户和房东分配联邦资金。

参与ERAP计划的每个州都需选择一个机构向符合条件的租户和房东分配联邦资金。在纽约州,临时和残障援助办公室(OTDA)负责该任务,并在2021年5月与Guidehouse签订了一份3.1亿美元的合同,指定其为主要承包商,负责向纽约居民提供ERAP技术和服务。NMA作为Guidehouse的分包商,负责向纽约州居民提供提交租赁援助在线申请的ERAP系统。

两家咨询公司本应确保,该ERAP应用程序在部署前经过适当的网络安全测试。但根据和解协议显示,NMA和Guidehouse在测试工具未能发挥作用的情况下, 纽约州的ERAP依然按计划于2021年6月1日上线,个人敏感信息的泄露几乎立即开始。在ERAP应用程序上线约12小时后,临时和残障援助办公室(OTDA)通知两家咨询公司,申请者的某些数据已经泄露到互联网上。NMA的和解文件中提到:“最终,Guidehouse和NMA都未能履行完成生产前网络安全测试的义务”。

法院文件称:“NMA与Guidehouse经过协商,聘请了第三方展开调查,确认没有未经授权者查看或使用个人身份信息(PII)。但是,小部分群体的个人身份信息被商业搜索引擎访问,触发了ERAP主合同约定的‘信息安全泄露’协议。”作为和解协议的一部分,Guidehouse和NMA都承认,如果进行了合同规定的安全测试,可能避免上述数据泄露。此外,Guidehouse还在和解协议中承认,从11月10日至12月14日期间,其使用了未获得纽约州批准的某个“第三方数据云软件程序”存储个人身份信息,违反了合同条款。

纽约北区检察官Carla Freedman表示:“获得联邦资金的承包商必须认真履行其网络安全义务。我们将继续追究实体和个人在明知情况下未能实施和遵循保护敏感信息的网络安全要求的责任。”