近日，美國喬治亞理工學院（Georgia Tech）的網(wǎng)絡安全實驗室陷入了一場法律訴訟。實驗室負責人Antonakakis博士因長期拒絕遵守美國國防部（DoD）的網(wǎng)絡安全規(guī)范（例如安裝殺毒軟件），導致學校被美國聯(lián)邦政府起訴。

著名安全實驗室被控欺詐

Antonakakis領(lǐng)導的網(wǎng)絡安全實驗室此前獲得了數(shù)百萬美元的國防部研究項目資金，其中包括為國防項目開發(fā)重大技術(shù)項目，例如“Rhamnousia：通過張量分解和數(shù)據(jù)抓取來追蹤網(wǎng)絡攻擊者”。

聯(lián)邦政府指控稱，Antonakakis及其實驗室多年來未遵守基本的安全規(guī)范，甚至在明知不合規(guī)的情況下，依舊提交了研究項目的費用發(fā)票，這種行為構(gòu)成了欺詐。

“從根本上說，國防部為軍事技術(shù)項目支付了費用，但被告將這些技術(shù)存儲在不安全的環(huán)境中，無法防止未經(jīng)授權(quán)的訪問和泄漏。被告甚至沒有監(jiān)控是否發(fā)生了信息泄露，這意味著即便信息已經(jīng)發(fā)生泄露，國防部也無從得知。最終，國防部認為在該項目的投入毫無價值，未能獲得應有的利益?！甭?lián)邦政府在起訴書中如此寫道。

網(wǎng)安博士強烈反對安裝殺毒軟件

Antonakakis博士和他領(lǐng)導的網(wǎng)絡安全實驗室長期反對安裝殺毒軟件，這直接違反了DoD的安全規(guī)范規(guī)定。根據(jù)NIST發(fā)布的《非聯(lián)邦信息系統(tǒng)與組織中受控未分類信息的保護》800-171號特別出版物，處理或存儲涉密信息的設(shè)備必須安裝終端殺毒軟件。然而，Antonakakis博士對此持強烈反對態(tài)度。

喬治亞理工的系統(tǒng)管理員曾要求Antonakakis博士遵守規(guī)定，但他在2019年的一封內(nèi)部郵件中明確表示，安裝殺毒軟件這件事“無法接受”。實驗室的IT主管被允許采取其他“緩解措施”，例如依賴學校的防火墻來提供額外的安全保護。然而，事實證明，這種“假設(shè)”是錯誤的。學校的網(wǎng)絡也從未提供過殺毒保護，而且實驗室中使用的筆記本電腦經(jīng)常離開學校網(wǎng)絡環(huán)境，這進一步加劇了安全風險。

喬治亞理工校方意識到實驗室為遵守國防部合同規(guī)定后，決定暫停實驗室合同的發(fā)票提交，以避免被控提交虛假付款請求。然而，在發(fā)票暫停提交幾天后，Antonakakis最終同意在實驗室安裝殺毒軟件。

盡管如此，聯(lián)邦政府指出，學校從未承認其長期不合規(guī)的事實，且在不合規(guī)的情況下依舊提交了大量發(fā)票，這屬于欺詐行為。

安全評估弄虛作假

喬治亞理工面臨的第二個問題是，該校在自我評估安全性時，提交了虛假分數(shù)。根據(jù)NIST的規(guī)定，學校需要評估110項安全控制措施的實施情況。喬治亞理工提交了一份全校的“總體安全計劃”，分數(shù)為98分，但實際上這個分數(shù)是基于一個虛構(gòu)的模型，而不是各個實驗室的真實情況。

校方并沒有對每個實驗室進行單獨評估，而是統(tǒng)一提交了編造的“98分”作為實驗室項目的分數(shù)。聯(lián)邦政府對此表示不滿，認為這種安全評估形同虛設(shè)，根本不反映實際的安全狀況。

技術(shù)骨干成安全文化“毒瘤”

聯(lián)邦政府認為，喬治亞理工之所以會出現(xiàn)如此松懈的安全管理，主要原因是研究人員認為遵守安全規(guī)范“太麻煩”。當核心研究人員成為抵觸網(wǎng)絡安全規(guī)定的”毒瘤“時，校方管理層往往選擇妥協(xié)，而不是強制執(zhí)行安全措施。

據(jù)前員工透露，喬治亞理工的高級領(lǐng)導層之所以向研究人員的要求讓步，主要是因為這些研究人員能為學校帶來大量政府合同資金。一名前員工稱，學校的網(wǎng)絡安全合規(guī)文化充斥著“反正領(lǐng)導都不重視安全，所以我也可以無視（安全）規(guī)定”的態(tài)度。

不過，并非所有人缺乏基本的安全意識。這起案件之所以曝光，正是因為喬治亞理工的IT部門內(nèi)部有幾位吹哨人站出來揭發(fā)實情。

喬治亞理工學院網(wǎng)絡安全實驗室的合規(guī)問題再次凸顯了安全合規(guī)在學術(shù)研究中的重要性。盡管安全規(guī)定可能會給研究工作帶來不便，但高校學術(shù)實驗室的開放性使其極易成為國家間間諜活動的目標。

通過起訴喬治亞理工學院，美國政府向其他依賴政府資金的大學實驗室也發(fā)出了警告：“如果不能嚴格遵守網(wǎng)絡安全規(guī)范，就別想再獲得政府資金。”