文章总结： 国防科技公司MORSE因长期不满足美国联邦政府网络安全合规要求，被罚款460万美元（约合人民币3340万元）。该公司未能确保第三方邮件服务供应商符合NIST安全标准，未制定书面安全计划，并在2021年网络态势评估中夸大自身防护水准。此案反映了美国政府正加大网络安全违规执法力度，近年来多起类似案例显示对不合规行为的处罚日益严厉。企业需重视网络安全合规，确保满足相关标准要求，避免面临法律风险和巨额罚款。 综合评分： 75 文章分类： 政策法规,安全建设,数据安全,网络安全,合规管理

因长期不满足网络安全合规要求，这家国防科技公司被罚超3300万元

安全内参编译

安全内参

2025年3月27日 16:17 北京

关注我们

带你读懂网络安全

图片来自MORSE官网

MORSE公司同意支付460万美元，以解决其涉嫌违反《虚假申报法》的指控，因为其未能遵守与美国陆军部和空军部签订合同中的网络安全要求。

前情回顾·全球网络安全执法

• 因违反网络安全合规要求，这家公司被罚超1000万元
• 因网络安全合规造假，这家军品供应商被罚超8000万元
• 泄露近600万客户敏感数据，这家金融机构被罚超1.4亿元
• 因网络安全信披违规，这家上市银行被罚超2500万元

安全内参3月27日消息，又一家国防承包商未能满足美国联邦政府的网络安全要求，宣布与政府达成和解协议。

MORSE公司同意支付460万美元（约合人民币3340万元），以解决其涉嫌违反《虚假申报法》的指控。这部法律于1863年颁布，对向政府提供服务时作出虚假陈述的行为设定了民事处罚。

MORSE是一家国防科技公司，总部位于美国马萨诸塞州。公司由麻省理工学院校友创立，与美国陆军和空军有合同关系，专注于国家安全领域的软件和硬件开发。

MORSE连续多年未能满足

NIST网络安全要求

据美国司法部称，MORSE使用第三方供应商托管电子邮件服务，但未能确保该供应商符合国家标准技术研究院（NIST）规定的安全要求。

和解协议指出，MORSE未能实施必要的网络安全措施，“可能导致网络被大规模利用，或受控国防信息被窃取。”

该公司还未能为其所有信息系统制定书面安全计划，包括详细说明系统边界、运行环境、安全要求的执行方式，以及与其他系统的关系或连接情况。

根据和解协议，MORSE在2021年进行了一次网络态势评估，夸大了自身的防护水准。在-210至110的评分范围内，该公司自评得分高达104。然而，次年受聘的审计员给出的评分却是-142，并指出该公司未能遵守78%的NIST标准要求。

MORSE在近一年时间内未向监管机构提交修订后的评分，直到调查人员向其发出传票后才提交。作为和解的一部分，MORSE承认未能达到联邦网络安全标准。

美政府加大网络安全违规执法

近年来，涉及网络安全的《反虚假申报法》执法行动有所加快。今年2月，一家为美国军方医疗系统提供支持的联邦承包商同意支付1100万美元罚款。而在去年，宾夕法尼亚州立大学和佐治亚理工学院因未能遵守安全标准，也分别被处以罚款。

2024年6月，美国司法部与联邦承包商Guidehouse和Nan McKay & Associates公司达成1130万美元的和解协议，原因是这两家公司在新冠疫情期间未能对纽约的财政援助系统进行适当的网络安全测试。

参考资料：therecord.media

推荐阅读

• 网安智库平台长期招聘兼职研究员
• 欢迎加入“安全内参热点讨论群”

点击下方卡片关注我们，

带你一起读懂网络安全 ↓

查看原文：《因长期不满足网络安全合规要求，这家国防科技公司被罚超3300万元》