咨询公司未能满足合同中的网络安全要求被指控罚款1130万美元

总部位于弗吉尼亚州麦克莱恩的 Guidehouse Inc. 已支付 7,600,000 美元，总部位于加利福尼亚州埃尔卡洪的 Nan McKay and Associates (Nan McKay) 已支付 3,700,000 美元，以解决指控，即他们违反了《虚假索赔法》，未能满足合同中的网络安全要求，该合同旨在确保在 COVID-19 大流行期间为低收入纽约人提供一个安全的环境来在线申请联邦租房援助。

2021 年初，国会设立了紧急租金援助计划 (ERAP)，为符合条件的低收入家庭提供财政援助，以支付 COVID-19 疫情期间的租金、租金欠款、水电费和其他住房相关费用。参与的政府必须制定计划，将联邦资金分配给符合条件的租户和房东。在纽约，临时和残疾援助办公室 (OTDA) 是负责管理纽约 ERAP 的州机构。2021 年 5 月，Guidehouse 和 OTDA 签订了一项合同，根据该合同，Guidehouse 作为总承包商，承担纽约 ERAP 的责任，包括为纽约人提供的 ERAP 技术和服务。而 Nan McKay 则担任 Guidehouse 的分包商，负责交付和维护纽约用于填写和提交在线申请租金援助的申请 (ERAP 申请) 的 ERAP 技术产品。

Guidehouse 和 Nan McKay 共同负责确保 ERAP 应用程序在向公众发布之前在其预生产环境中进行网络安全测试。作为今天宣布的和解协议的一部分，Guidehouse 和 Nan McKay 承认，双方均未履行完成所需预生产网络安全测试的义务。该州的 ERAP 于 2021 年 6 月 1 日上线。12 小时后，OTDA 在确定某些申请人的个人身份信息 (PII) 已被泄露且部分信息在互联网上可用后关闭了 ERAP 网站。Guidehouse 和 Nan McKay 承认，如果他们中的任何一方进行了合同要求的网络安全测试，那么导致信息安全漏洞的情况可能已被发现并防止事件发生。

此外，作为和解协议的一部分，Guidehouse 承认，在 2021 年的一段短时间内，它使用第三方数据云软件程序存储个人身份信息，但并未事先获得 OTDA 的许可，这违反了其合同规定。

司法部民事部门负责人、首席副助理司法部长 Brian M. Boynton 表示：“联邦资金通常伴随着网络安全义务，承包商和受资助者必须履行这些承诺。司法部将继续追查明知违反旨在保护敏感个人信息的重大网络安全要求的行为。”

“接受联邦资助的承包商必须认真履行其网络安全义务，”纽约北区美国检察官卡拉·弗里德曼 (Carla B. Freedman) 表示。“如果实体和个人明知故犯地不执行和遵守保护敏感信息所必需的网络安全要求，我们将继续追究他们的责任。”

美国财政部代理监察长理查德·K·德尔马 (Richard K. Delmar) 表示：“这些供应商未能履行其在该计划中数据完整性的义务，而该计划为众多符合条件的公民提供了租房保障，这危及了政府疫情恢复工作中一个重要部分的有效性。”“财政部督察长办公室感谢司法部对其监督工作的支持，以完成此次恢复工作。”

纽约州审计长托马斯·迪纳波利 (Thomas P. DiNapoli) 表示：“这项和解向纽约州承包商发出了强烈信号，如果他们未能保护委托给他们的个人信息或履行合同条款，将承担后果。租金援助对我们的经济复苏至关重要，该计划的完整性需要得到保护。我感谢美国司法部、纽约北区美国检察官弗里德曼和美国财政部监察长办公室的合作，揭露了这一违规行为并追究这些供应商的责任。” 

2021 年 10 月 6 日，副检察长宣布了该部门的民事网络欺诈倡议，旨在追究那些故意提供有缺陷的网络安全产品或服务、故意歪曲其网络安全实践或协议或故意违反监控和报告网络安全事件义务而将敏感信息置于风险中的实体或个人的责任。

美国政府的调查是由一起根据《虚假索赔法案》的举报人条款提起的诉讼引发的，该法案允许私人当事方在认为被告提交虚假索赔以骗取政府资金时代表政府提起诉讼，并获得部分赔偿。本案的和解协议规定，举报人 Elevation 33 LLC（Guidehouse 前雇员拥有的实体）将获得 1,949,250 美元的和解金。该案的标题为“美国诉 Elevation 33, LLC 诉 Guidehouse Inc. 等案”，案件编号 1:22-cv-206 (NDNY)

民事部门商业诉讼处欺诈科的审判律师 J. Jennifer Koh 和纽约北区美国助理检察官 Adam J. Katz 处理了此事，并得到了财政部监察长办公室和纽约州审计长办公室的协助。