Guidehouse Inc., con sede en McLean, Virginia, ha pagado 7.600.000 dólares y Nan McKay and Associates (Nan McKay), con sede en El Cajon, California, ha pagado 3.700.000 dólares para resolver las acusaciones de que violaron la Ley de Reclamaciones Falsas al no cumplir con los requisitos de ciberseguridad en contratos destinados a garantizar un entorno seguro para que los neoyorquinos de bajos ingresos soliciten en línea asistencia federal para el alquiler durante la pandemia de COVID-19.
A principios de 2021, el Congreso estableció el programa de asistencia de emergencia para el alquiler (ERAP) para brindar asistencia financiera a hogares elegibles de bajos ingresos para cubrir los costos del alquiler, los atrasos en el alquiler, los servicios públicos y otros gastos relacionados con la vivienda durante la pandemia de COVID-19. Se requirió que los gobiernos participantes establecieran programas para distribuir los fondos federales a inquilinos y propietarios elegibles. En Nueva York, la Oficina de Asistencia Temporal y para Discapacitados (OTDA) era la agencia estatal responsable de administrar el ERAP de Nueva York.
En mayo de 2021, Guidehouse y OTDA celebraron un contrato en virtud del cual Guidehouse, como contratista principal, asumió la responsabilidad del ERAP de Nueva York, incluida la tecnología y los servicios del ERAP proporcionados a los neoyorquinos. Nan McKay, a su vez, actuó como subcontratista de Guidehouse y fue responsable de entregar y mantener el producto de tecnología ERAP utilizado en Nueva York para completar y enviar solicitudes en línea solicitando asistencia para el alquiler (Solicitud ERAP).
Guidehouse y Nan McKay compartieron la responsabilidad de garantizar que la aplicación ERAP se sometiera a pruebas de ciberseguridad en su entorno de preproducción antes de su lanzamiento al público. Como parte de los acuerdos anunciados hoy, Guidehouse y Nan McKay admitieron que ninguno de los dos cumplió con su obligación de completar las pruebas de ciberseguridad de preproducción requeridas.
El ERAP del estado entró en funcionamiento el 1 de junio de 2021. Doce horas después, OTDA cerró el sitio web del ERAP después de determinar que la información de identificación personal (PII) de ciertos solicitantes se había visto comprometida y que había partes disponibles en Internet. Guidehouse y Nan McKay reconocieron que si cualquiera de ellos hubiera realizado las pruebas de ciberseguridad requeridas por contrato, es posible que se hubieran detectado las condiciones que dieron lugar a la violación de la seguridad de la información y se hubiera evitado el incidente.
Además, como parte de su acuerdo, Guidehouse admitió que durante un breve período en 2021, utilizó un programa de software de nube de datos de terceros para almacenar información de identificación personal sin obtener primero el permiso de OTDA, en violación de su contrato.
“La financiación federal frecuentemente viene acompañada de obligaciones de ciberseguridad, y los contratistas y beneficiarios deben cumplir con estos compromisos”, dijo el Fiscal General Adjunto Principal Brian M. Boynton, jefe de la División Civil del Departamento de Justicia. “El Departamento de Justicia continuará persiguiendo violaciones conscientes de los requisitos materiales de ciberseguridad destinados a proteger información personal confidencial”.
“Los contratistas que reciben financiación federal deben tomar en serio sus obligaciones de ciberseguridad”, dijo la fiscal federal Carla B. Freedman para el Distrito Norte de Nueva York. “Seguiremos responsabilizando a las entidades y a las personas cuando, a sabiendas, no implementen y sigan los requisitos de ciberseguridad esenciales para proteger la información confidencial”.
“Estos proveedores no cumplieron con sus obligaciones de integridad de datos en un programa del que dependen tantos ciudadanos elegibles para la seguridad del alquiler, lo que puso en peligro la eficacia de una parte vital del esfuerzo de recuperación de la pandemia del gobierno”, dijo el inspector general interino Richard K. Delmar de la Departamento de Tesoreria. “La OIG del Tesoro agradece el apoyo del Departamento de Justicia a su trabajo de supervisión para lograr esta recuperación”.
“Este acuerdo envía un fuerte mensaje a los contratistas del estado de Nueva York de que habrá consecuencias si no salvaguardan la información personal que se les ha confiado o no cumplen con los términos de sus contratos”, dijo el Contralor del Estado de Nueva York, Thomas P. DiNapoli.
“La asistencia para el alquiler ha sido vital para nuestra recuperación económica y es necesario proteger la integridad del programa. Agradezco al Departamento de Justicia de los Estados Unidos, al Fiscal Federal para el Distrito Norte de Nueva York, Freedman, y a la Oficina del Inspector General del Departamento del Tesoro de los Estados Unidos por su colaboración para exponer esta infracción y responsabilizar a estos proveedores”.
El 6 de octubre de 2021, el Fiscal General Adjunto anunció la Iniciativa Civil contra el Fraude Cibernético del departamento , cuyo objetivo es responsabilizar a las entidades o individuos que ponen en riesgo información confidencial al proporcionar deliberadamente productos o servicios de ciberseguridad deficientes, tergiversando deliberadamente sus prácticas o protocolos de ciberseguridad. o violar deliberadamente las obligaciones de monitorear y reportar incidentes de ciberseguridad. Puede encontrar información sobre cómo denunciar el fraude cibernético aquí .
La investigación de Estados Unidos fue motivada por una demanda presentada bajo las disposiciones de denuncia de irregularidades de la Ley de Reclamaciones Falsas, que permiten a partes privadas demandar en nombre del gobierno cuando creen que los acusados presentaron reclamaciones falsas por fondos del gobierno, y recibir una parte de cualquier recuperación.
Los acuerdos de conciliación en este caso prevén que el denunciante, Elevation 33 LLC, una entidad propiedad de un ex empleado de Guidehouse, reciba una parte de $1,949,250 de los montos del acuerdo. El caso se titula Estados Unidos ex rel. Elevation 33, LLC contra Guidehouse Inc. et al., Caso No. 1:22-cv-206 (NDNY)
La abogada litigante J. Jennifer Koh de la Subdivisión de Litigios Comerciales de la División Civil, Sección de Fraude y el Fiscal Federal Adjunto Adam J. Katz para el Distrito Norte de Nueva York manejaron este asunto, con la asistencia de la OIG del Departamento del Tesoro y la Oficina del Nuevo Contralor del estado de York.
