美国司法部在网络安全合规方面的重要胜利

关键要点

• 美国司法部可能加强针对未遵守网络安全规定的承包商的起诉和罚款力度。
• Aerojet Rocketdyne在一起虚假索赔法案下的诉讼中达成了900万美元的和解。
• 该案虽为政府赢得了部分胜利，但仍面临长期且昂贵的法律挑战。

美国司法部（DoJ）最近在一起备受瞩目的网络安全合规民事诉讼中的胜利，可能使其能够通过一项已有150年历史的法律，更有效地起诉未遵守网络安全规定的企业。然而，法律专家指出，这场胜利最多也只算部分胜利，表明要利用《虚假索赔法》来影响承包商行为，仍需经历漫长而昂贵的法律斗争。

今年5月，与航空航天和国防承包商AerojetRocketdyne进行的诉讼在开庭两天后达成和解。根据最新公布的法庭文件，该公司同意支付900万美元罚款，其中261万美元将支付给起诉的前员工BrianMarcus。最初于2015年提出的此案，主要指控该公司在欺诈性地声称遵守网络安全的联邦采购规定的情况下，获得了数十亿美元的国防部和NASA的联邦合同。

前司法部副助理检察长Kellen Dwyer告诉SCMedia，案件及和解结果对政府来说是个好消息，增强了未来利用《虚假索赔法》追究承包商网络安全不当行为的法律基础。他指出，由于案件能够进入审判阶段，法官认定基于网络安全要求不充分合规可以作为《虚假索赔法》索赔的有效理论。

“这是政府在网络安全合规方面的一次胜利，但仍需进一步的努力来明确这些规定的合规性质，而这又可能需要更多的法律争斗。”——Kellen Dwyer

网络安全合规的新模式

去年，美国司法部宣布了一项重大举措，计划以《虚假索赔法》为依据，起诉那些在联邦合同中虚假陈述符合法规的承包商。这是一个新颖的法律论点，虽然政府没有直接发起对AerojetRocketdyne的诉讼，但却在案件中提交了利益声明，认为这是对其更广泛立场的测试。

副检察长Lisa Monaco表示，威胁披露虚假信息的承包商，并对其采取严重的罚款措施。

尽管Dwyer认为此案的解决增强了政府的法律立场，但由于没有形成明确的裁决，也未能完善对网络安全合规性的法律处理，仍应将其视为部分胜利。

AerojetRocketdyne的律师在辩护时提出，政府早已知情该公司并未完全遵从网络安全规定，却未能对此提出诉讼或拒绝支付费用。虽然法官允许案件达到陪审团审理阶段，并促使AerojetRocketdyne支付900万美元的和解金，但该和解协议还包括公司否认任何不当行为的声明，令其法律责任的界定变得模糊。

未来，Dwyer表示，若美国司法部希望利用《虚假索赔法》对承包商的网络安全规定进行追诉，就必须更加清晰地表明不合规是合同中的重大违约。

“如果政府打算利用《虚假索赔法》来强制执行联邦合同中的网络安全条款，他们需要让承包商明确这是一项至关重要的内容。”——Kellen Dwyer

RobertMetzger，一位律师和国防承包专家，指出处罚金额”相当重大”，但考虑到案件的持续时间，相较于其指控及在法庭上的时间，和解金额仍“低于我预期的范围”。他认为，美国司法部在广泛利用《虚假索赔法》时将面临严峻挑战。

Metzger在LinkedIn上的一篇文章中写道：“考虑到诉讼程序的时间，举报者和其律师以及美国司法部，应该对使用《虚假索赔法》作为‘监管’承包商网络合规的手段提高警惕。这样的案件非常困难且成本高昂。”