Você já imaginou uma empresa de defesa americana sendo multada por falhas de segurança cibernética? Parece ficção científica, mas aconteceu com a MORSE Corp. Vamos desvendar essa história e entender o impacto de negligenciar a segurança da informação.
A MORSE Corp, uma empresa de Massachusetts, especializada em tecnologia de navegação para veículos militares, pagou uma multa de US$ 4,6 milhões por não cumprir os requisitos de segurança cibernética em contratos militares. Isso inclui a apresentação de declarações falsas sobre o seu nível de conformidade.
Falhas de Segurança Crítica
As falhas de segurança foram muitas, variando de problemas na segurança em nuvem a pontuações de conformidade falsificadas. A situação veio à tona graças a um funcionário que denunciou as irregularidades, acionando a lei de denúncias falsas.
Email sem proteção
Desde 2018, a empresa utilizava um provedor de email de terceiros sem garantir que ele atendesse aos padrões de segurança exigidos. Além disso, não houve verificação se o provedor seguia as regras do Pentágono para relatórios de incidentes, manuseio de malware e preservação de dados.
Falta de Planejamento e Conformidade
A MORSE também falhou em implementar completamente as regras de controle de segurança exigidas pelo NIST (Instituto Nacional de Padrões e Tecnologia). Essas regras, se não implementadas, poderiam levar a uma exploração significativa da rede ou à exfiltração de informações confidenciais de defesa.
Entre 2018 e 2021, a empresa sequer possuía planos de segurança escritos para seus sistemas, apesar dos requisitos contratuais para documentar os limites, configurações e conexões externas dos sistemas.
Pontuações Falsificadas
Um dos aspectos mais preocupantes do caso foi a forma como a MORSE lidou com suas próprias avaliações de segurança. Contratores do Departamento de Defesa precisam relatar suas pontuações na implementação da publicação especial NIST 800-171, que estabelece um arcabouço para proteção de dados sensíveis.
Em 2021, a MORSE relatou uma pontuação de 104. No entanto, uma auditoria independente em 2022 revelou uma pontuação catastrófica de -142, indicando que apenas 22% dos controles de segurança exigidos haviam sido implementados. A empresa só atualizou sua pontuação em 2023, meses após receber uma intimação federal.
Consequências
Como parte do acordo, a MORSE restituiu US$ 4,6 milhões ao governo, sendo US$ 851.000 destinados ao funcionário que denunciou as irregularidades. A empresa nega ter cometido qualquer irregularidade e afirma estar em conformidade com todos os requisitos de segurança cibernética.
Essa história serve como um alerta para a importância da segurança cibernética, principalmente em setores como o de defesa. Negligenciar a segurança da informação pode ter consequências graves, incluindo multas milionárias e danos à reputação.
Deixe seu comentário abaixo e compartilhe sua opinião sobre esse caso. O que você acha que as empresas podem fazer para melhorar sua segurança cibernética?
