Соединенные Штаты подали в суд на бывшего старшего менеджера компании Accenture, обвиняя ее в том, что она якобы ввела правительство в заблуждение относительно безопасности облачной платформы армии.
53-летняя Даниэль Хиллмер из Шантильи, штат Вирджиния, обвиняется в обмане аудиторов относительно возможностей сервиса, заказанного правительством в 2017 году.
Хотя в судебных документах компания упоминается только как “Компания А”, Хиллмер утверждала, что работала на одну из четырех крупнейших консалтинговых фирм Accenture в указанный период, согласно ныне удаленному профилю в LinkedIn.
По данным американской стороны, в период с марта 2020 года по ноябрь 2021 года Хиллмер препятствовала работе федеральных аудиторов и ложно представляла безопасность облачной платформы компании, которая использовалась и другими государственными заказчиками помимо армии.
Рассматриваемая платформа описывается как “Интегрированная система финансового управления внебюджетными фондами” (NIFMS) – простыми словами, облачная система для расчета заработной платы, пенсионного обеспечения и льгот.
Согласно обвинительному заключению, опубликованному на этой неделе, Хиллмер предприняла конкретные шаги, чтобы представить платформу NIFMS как обладающую средствами контроля безопасности, соответствующими базовому уровню FedRAMP High, а также уровням воздействия Министерства обороны (DoD) 4 и 5.
Стандарт Федеральной программы управления рисками и авторизацией (FedRAMP) стандартизирует оценки безопасности, и системы должны иметь “высокий” базовый уровень для хранения федеральной информации.
У Министерства обороны есть своя система управления рисками, где уровни воздействия 4 и 5 представляют собой наивысшие уровни безопасности. Уровень IL4 требует, чтобы системы соответствовали различным критериям, от FedRAMP Moderate, FedRAMP High и специфических для DoD средств контроля, в то время как IL5 является наивысшим доступным уровнем для несекретной информации.
Контракт Accenture оценивался примерно в 30 миллионов долларов США, и для его выполнения требовалась оценка по уровню воздействия DoD 4.
Хиллмер, как утверждается, подала заявку в Объединенный совет по авторизации, ответственный за администрирование FedRAMP, с целью повышения уровня соответствия платформы с Moderate до High. США утверждают, что Accenture использовала бы это для получения аккредитации DoD IL5.
Эта заявка якобы содержала различные ложные и вводящие в заблуждение заявления о безопасности платформы.
“Среди прочего, Хиллмер знала, что платформа не внедрила необходимые средства контроля безопасности, связанные с управлением доступом, реагированием на инциденты и непрерывным мониторингом, включая аудит, логирование, мониторинг и оповещение”, – говорится в обвинительном заключении.
“Хиллмер также знала, что клиентские среды не управлялись, не контролировались, не регулировались и не обеспечивались безопасностью так, как это было представлено в плане безопасности системы платформы”.
Хиллмер якобы действовала так, несмотря на многочисленные голоса как внутри компании, так и от внешних консультантов по кибербезопасности, информировавших ее о несоответствии платформы требованиям FedRAMP High.
Согласно изложенной в юридических документах хронологии событий, Хиллмер подала заявку 10 марта 2020 года, отметив, что компании требуется FedRAMP High из-за выигранных контрактов с армией, и пообещала, что соответствующие средства контроля будут внедрены к апрелю 2020 года, а система будет работать к августу.
В июне 2020 года внешний консультант сообщил Хиллмер, что более 100 средств контроля безопасности не были внедрены, а в ряде случаев решение не было найдено.
Предположительно, в июле она одобрила отчет об оценке готовности, зная о несоответствии системы, и в последующие месяцы скрывала известные проблемы от официальных лиц.
В сентябре 2020 года, по утверждению американской стороны, Хиллмер прямо заявила, что все средства контроля FedRAMP High были реализованы, и для получения аккредитации к 1 января 2021 года были необходимы, учитывая выигрыш контрактов с армией.
Эти искажения продолжались до сентября 2021 года, утверждает американская сторона, и не менее шести государственных ведомств планировали использовать платформу, что могло принести Accenture контракты на сумму около 250 миллионов долларов.
Представитель Accenture сообщил изданию *The Register*: “Как ранее раскрывалось в наших публичных отчетах, мы проактивно довели этот вопрос до сведения правительства после внутреннего расследования.
“Мы всесторонне сотрудничали и продолжаем сотрудничать с расследованием правительства. Мы по-прежнему привержены соблюдению высочайших этических стандартов при обслуживании всех наших клиентов, включая федеральное правительство”.
То же самое было заявлено Комиссии по ценным бумагам и биржам (SEC) в форме 10-K [PDF], поданной 12 октября 2023 года. В нем указывалось, что Министерство юстиции возбудило гражданское и уголовное производство в отношении “одного или нескольких сотрудников”, и компания полностью сотрудничает со следствием. ®
Автор – Connor Jones
