在佐治亚理工学院,突破性研究和技术创新是日常工作,而另一种突破正在引起轰动。美国司法部已介入此事,支持一项举报人诉讼,该诉讼针对这家知名机构自身的网络安全做法。
这不仅关系到佐治亚理工学院的声誉,还可能关系到研究型大学未来如何获得联邦合同和解决网络安全合规问题。
指控:不合规行为屡见不鲜
该诉讼最初由佐治亚理工学院网络安全合规团队的两名前高级成员克里斯托弗·克雷格 (Christopher Craig) 和凯尔·科扎 (Kyle Koza) 提起,描绘了一幅令人不安的画面,即系统性地未能满足国防部 (DoD) 的网络安全要求。以下是主要指控:
未能实施安全计划:据称,至少自 2019 年以来,佐治亚理工学院未能为负责国防部合同的 Astrolavos 实验室制定并实施所需的系统安全计划。
覆盖范围不足:据报道,即使 2020 年实施了一项计划,它也未能涵盖所有覆盖的系统,而且从未按要求进行更新。
缺乏基本的安全措施:
据称,2019 年 5 月至 2021 年 12 月期间,Astrolavos 实验室的系统和网络在没有必要的安全应用程序的情况下运行,违反了联邦要求和内部政策。
虚假报告: 2020 年 12 月,佐治亚理工学院和 GTRC 被指控向国防部提交了虚假的 98 分网络安全评估分数,歪曲了其合规状况。
优先考虑研究而非安全:投诉表明佐治亚理工学院经常屈服于“明星研究人员”的要求,优先考虑大型政府合同而非网络安全合规。
更大图景:联邦政府严厉打击网络安全
这起诉讼是美国司法部为确保政府承包商和分包商诚实对待其网络安全工作而采取的广泛行动的一部分。它反映了联邦政府对网络安全的日益重视,最近的行政命令、公开的安全战略和更严格的安全要求(如基于NIST SP 800-171的CMMC 2.0 )都证明了这一点。
有一件事是肯定的:即使是最负盛名的机构也无法免受审查和潜在的法律诉讼。政府对网络问题越来越重视,白宫、五角大楼甚至国会发布的一系列备忘录和加强网络安全的要求都表明了这一点。
对于研究型大学而言,不遵守规定的影响远不止可能受到法律处罚。这关系到它们在学术和研究界的声誉和可信度;甚至关系到它们获得未来政府合同和资助的能力;更实际的是,关系到宝贵的研究数据和知识产权的保护。
佐治亚理工学院的案件与去年针对宾夕法尼亚州立大学的案件类似,进一步证明了联邦政府致力于在学术界执行网络安全标准。
伍德兰购物中心是北休斯顿的顶 级时尚中 商城 心位于美国最购物中具活力的社区之一。数字产业和智能基础的产品目录和在线订购系统登录您现在没有购物中心访问权限。设施伍德兰心是北休斯顿的顶级时尚中心位于美国最具活力的社区之一。
经验教训:研究型大学的合规要求
正如我们从去年宾夕法尼亚州立大学类似的惨败中了解到的那样,佐治亚理工学院的案例为其他研究机构提供了几个重要的教训:
合规性是不可谈判的:即使是著名的机构也不能免于联邦网络安全要求——尤其是当这些要求与处理受控非机密信息或 CUI 数据有关时。
全面覆盖至关重要:安全计划必须覆盖所有相关系统并定期更新。
平衡研究和安全:虽然确保研究合同对于研究型大学来说很重要,但绝不能以牺牲网络安全为代价。
准确的报告至关重要:虚假 成功销售策略的关键要素 陈述合规状况可能导致严重的法律后果。
举报人风险:如果内部网络安全团队发现持续的不合规行为,他们可能会成为举报人。
大学网络领袖的下一步是什么
正如佐治亚理工学院的案例所示,对于研究型大学来说,采用以数据为中心的强大网络安全方法已不再是可有可无的选择。Virtru电子邮件加密和Virtru Secure Share等解决方案为研究型大学提供了高度安全的信息共享方式 — 在对象级别加密数据、管理数据访问并确保符合联邦标准。
通过实施强有力的数据保护措施
大学可以保障他们的研究,保持合规性,并在不损害安全性的情况下继续推动创新。
信息很明确:合规对于大学使命的重要性不亚于其研究成果。现在是所有研究机构注意并采取相应行动的时候了。
如果您是网络领导者
希望快速有效地证明数据安全符合 CMMC 和 ITAR 等法规,请联系我们的团队。我们很乐意与您合作,加强数据保护并增强您 移动电话号码列表 的研究项目的合规性。
谢尔比·艾姆斯
谢尔比·艾姆斯Shelby 是 Virtru 的内容策略经理,专长于搜索引擎优化、社交媒体和数字营销活动。她为医疗保健、家庭服务、广播媒体和数据安全领域的主要参与者制作内容。