In un ambiente digitale in rapida evoluzione, la sicurezza informatica è diventata una priorità fondamentale per le organizzazioni che lavorano con il governo degli Stati Uniti. Purtroppo, due importanti appaltatori federali hanno recentemente ammesso di non aver testato adeguatamente la sicurezza informatica di un sistema cruciale per l’assistenza finanziaria ai newyorkesi a basso reddito durante la pandemia di COVID-19. Questa grave negligenza ha portato a una violazione della privacy dei dati personali degli utenti, con conseguenze legali e reputazionali significative per le aziende coinvolte.
Le Aziende Coinvolte e le Violazioni Scoperte
Le società Guidehouse Inc. e Nan McKay and Associates, entrambe appaltatori federali, si sono trovate al centro di questa controversia. Guidehouse, con sede in Virginia, ha pagato una multa civile di 7,6 milioni di dollari, mentre Nan McKay, con sede in California e subappaltatore del progetto, ha pagato 3,7 milioni di dollari. Questi accordi transattivi risolvono le accuse secondo cui le aziende hanno violato il False Claims Act, una legge che mira a proteggere il governo da appaltatori che forniscono informazioni errate sulla qualità dei loro servizi.
Le indagini hanno rivelato che nel maggio 2021, le due società hanno collaborato per impostare un programma di assistenza per l’affitto di emergenza (ERAP) per l’Ufficio statale per l’assistenza temporanea e per le disabilità (OTDA) di New York. Tuttavia, solo 12 ore dopo il lancio del sito web ERAP, l’OTDA è stata costretta a chiuderlo dopo aver scoperto che le informazioni di identificazione personale (PII) di alcuni richiedenti erano state compromesse e rese disponibili su Internet.
Le Conseguenze Legali e Reputazionali
Secondo il Dipartimento di Giustizia, Guidehouse e Nan McKay hanno ammesso che se avessero effettuato i test di sicurezza informatica richiesti contrattualmente, le condizioni che hanno portato alla violazione della sicurezza delle informazioni sarebbero state rilevate e l’incidente sarebbe stato evitato. Inoltre, Guidehouse ha ammesso di aver utilizzato temporaneamente un programma software di archiviazione cloud di terze parti per memorizzare informazioni di identificazione personale senza aver ottenuto prima il permesso dell’OTDA, violando così il suo contratto.
Queste violazioni hanno avuto gravi conseguenze per le aziende coinvolte. Oltre alle ingenti sanzioni pecuniarie, l’immagine e la reputazione delle società sono state gravemente danneggiate. Inoltre, il caso ha portato all’attivazione dell’iniziativa Cyber-Fraud del governo Biden, che mira a ritenere responsabili le entità o gli individui che mettono a rischio informazioni sensibili.
Il Ruolo del Whistleblower e l’Iniziativa Cyber-Fraud
L’indagine su questo caso è stata avviata grazie alla segnalazione di un whistleblower, ovvero un ex dipendente di Guidehouse. Questa persona riceverà quasi 1,95 milioni di dollari dalle somme dell’accordo transattivo, a testimonianza dell’importanza del ruolo svolto dai whistleblower nel far emergere casi di negligenza e frode ai danni del governo.
L’Iniziativa Cyber-Fraud del governo Biden, lanciata alla fine del 2021, mira a perseguire legalmente le entità o gli individui che mettono a rischio informazioni sensibili. Questo caso di Guidehouse e Nan McKay è il sesto ad essere risolto nell’ambito di questa iniziativa, dimostrando l’impegno dell’amministrazione nel garantire la responsabilità delle aziende che lavorano con il governo federale in materia di sicurezza informatica.
Lezioni Apprese e Raccomandazioni per il Futuro
Questo caso evidenzia l’importanza cruciale della sicurezza informatica per le organizzazioni che lavorano con il governo degli Stati Uniti. Gli appaltatori federali devono adottare misure rigorose per testare e garantire la sicurezza dei sistemi e dei dati sensibili, al fine di evitare gravi violazioni e conseguenze legali e reputazionali.
Inoltre, il ruolo dei whistleblower nel far emergere casi di negligenza e frode è fondamentale. Le aziende dovrebbero incoraggiare una cultura della segnalazione, garantendo protezione e incentivi per coloro che scelgono di denunciare comportamenti scorretti.
Infine, l’Iniziativa Cyber-Fraud del governo Biden dimostra l’impegno dell’amministrazione nel perseguire legalmente le organizzazioni che mettono a rischio informazioni sensibili. Le aziende che lavorano con il governo federale devono essere consapevoli di questa iniziativa e adottare misure proattive per garantire la conformità alle normative di sicurezza informatica.
Fonte dell’articolo qui.