Американская компания MORSECORP Inc. согласилась выплатить $4,6 миллиона для урегулирования обвинений в

Американская компания MORSECORP Inc. согласилась выплатить $4,6 миллиона для урегулирования обвинений в нарушении Закона о ложных заявлениях, связанных с несоблюдением требований кибербезопасности в контрактах с армией и ВВС США 👮

Согласно заявлению Министерства юстиции США 👩🏼‍⚖️, с января 2018 года по сентябрь 2022 года MORSE использовала стороннюю компанию для размещения своего e-mail сервера и хранения электронных писем, не обеспечив соответствие этой компании требованиям безопасности, эквивалентным базовому уровню Федеральной программы управления рисками и авторизацией (FedRAMP) Moderate, а также не соблюдала 🧑‍⚖️ требования Министерства обороны по отчетности об инцидентах ИБ, защите от вредоносного ПО, сохранению и защите носителей информации, доступу к дополнительной информации и оборудованию, необходимому для анализа и оценки ущерба от киберинцидентов 👎

Кроме того, MORSE не внедрила ☹️ 34 из 110 обязательных мер по защите информации, предусмотренных контрактами, и не сообщила об этом Министерству обороны. Несмотря на это, компания подавала заявки на оплату по контрактам, подтверждая соответствие всем требованиям кибербезопасности 👍

Интересно, у нас когда-нибудь такое будет или нет? У нас даже в реестр недобросовестных поставщиков за такое не включают. Пожурили, в лучшем случае, и дальше продолжают сотрудничать 😦 Вообще, вопрос ответственности подрядчиков (а тут даже не взлом, а просто несоблюдение требований) и, особенно, ИБ-компаний, становится все острее и острее. О том как проверять их с точки зрения ИБ и какие требования к ним предъявлять буду говорить на "Территории безопасности 2025" уже на следующей неделе 🤝

#ответственность