Raketmotorbedrijf schikt met overheid VS na vermeende leugen over cybersecurity

De raketmotorfabrikant Aerojet Rocketdyne heeft een schikking van 9 miljoen dollar getroffen met de Amerikaanse overheid. Het bedrijf zou hebben gelogen over de staat van zijn cybersecurity om miljarden dollars aan publieke middelen te kunnen ontvangen.

Het Amerikaanse ministerie van Justitie schrijft vrijdag dat Aerojet Rocketdyne akkoord gaat met het betalen van de schikking. Het bedrijf heeft onder meer motoren gemaakt voor NASA, die zijn gebruikt voor satellieten en raketten. Tussen juli 2013 en september 2015 heeft Aerojet Rocketdyne ongeveer 2,6 miljard dollar aan publieke middelen ontvangen. De steun was afkomstig van NASA en het ministerie van Defensie.

De rechtszaak is aangespannen door oud-werknemer Brian Markus. De man werd in 2013 door Aerojet Rocketdyne aangenomen als cybersecurityspecialist. Markus zegt dat hij veel minder budget en personeel kreeg toegewezen dan was beloofd, schrijft Reuters. Ook zou het bedrijf tegen het bestuur hebben verzwegen dat het niet voldeed aan de vereiste veiligheidseisen om in aanmerking te komen voor middelen. De oud-werknemer heeft in april al een schikking getroffen met het bedrijf. Nu het ministerie van Justitie deze schikking heeft goedgekeurd, krijgt Markus 2,61 miljoen dollar.

Door de schikking te betalen erkent Aerojet Rocketdyne overigens geen schuld. Het bedrijf zegt dat het de overheidsinstanties voldoende heeft ingelicht over de staat van zijn cybersecurity.

Update, 14.43 uur: Alinea met Aerojets reactie toegevoegd.

Door Loïs Franx

Redacteur

11-07-2022 • 13:45

43

Reacties (43)

Sorteer op:

Weergave:

Nou begrijp ik dat dit artikel leest alsof een bedrijf zojuist enkel een paar miljoen boete moet betalen, voor staatssteun van een paar miljard. Maar dat is niet het geval.

Dit gaat over het feit dat Aerojet Rocketdyne heeft gelogen over de status van zijn veiligheid, om mee te mogen doen aan overheidscontracten. Vervolgens hebben zij de pitch gewonnen van NASA en hebben producten mogen ontwikkelen en leveren. Als gevolg van het winnen van die pitch, kwam er geld vrij vanuit de overheid voor de opdracht. In dit geval is dus Brian Markus een voorbeeld van iemand die ze hebben aangenomen om de schijn te wekken dat ze een cybersecurityspecialist + team hadden.

Voor je aan dit soort contracten mag werken, zijn er allerlei strenge eisen waaraan je moet voldoen voordat je überhaupt in aanmerking komt om aan tafel te schuiven. In dit geval heeft dus Aerojet Rocketdyne gedaan alsof ze dat allemaal op orde hadden, wat onder valse voorwendselen valt. Je hebt immers niet de kosten gemaakt die je concurrenten wel hebben moeten ophoesten, om ook maar mee te mogen doen aan de pitch. Plus dat daarmee je ernstig de veiligheid (lees spionage) in gevaar brengt rondom de ontwikkeling van unieke technologie. Het zal tenslotte niet de eerste keer zijn dat een overheid gehackt is vanwege een third-party die het niet zo nauw neemt met de veiligheid.
Wat ik niet snap aan het verhaal is dat de overheid dus geen check doet of wat je aanlevert ook wel klopt. Ik dacht altijd dat in dit geval er wel een 3 letterige instanatie zou zijn die de zaken doorlicht.

Enig idee waarom de werknemer daarvoor een rechtzaak startte? Was dat omdat zijn naam nu een negatieve aandacht gekregen heeft? Normaal als een bedrijf niet levert wat je was beloofd (buiten je salaris om), ga je gewoon weg.
In 2014 werd Rocketdyne door een externe partij (die zij ingehuurd hadden) erop gewezen dat ze niet in compliance waren met de benodigde cybersecurity vereisten om bepaalde contracten van de overheid binnen te halen. Daarop werd Brian Markus aangenomen als Senior Director of Cyber Security om dit in orde te brengen. Een jaar later vroeg Rocketdyne hem een papier te ondertekenen waarop stond dat ze alle gebreken opgelost hadden, en dat ze nu wel in compliance waren met de vereisten voor die contracten. Brian vond dat dit niet het geval was, en weigerde. Hij kaarte dit ook intern aan via de ethics hotline van het bedrijf, waarop hij ontslagen werd.
Terwijl dit alles plaats vond, bleef Rocketdyne bij de overheid beweren dat er ofwel geen problemen waren met hun interne systemen en dat ze aan alle vereisten voldeden, ofwel dat ze actief stappen aan het ondernemen waren om bepaalde zaken op te lossen. Als reactie hierop diende Brian klacht in als whistleblower onder de False Claims Act. Nu, 7 jaar later, heeft Rocketdyne de zaak geschikt en krijgt Brian een percentage van de opbrengst. Je kan iets meer details in dit document van de rechtbank lezen.

Van wat ik op het eerste zicht online kan vinden, was het redelijk subtiel en is dit ook de reden waarom de schikking laag uitvalt. De overheid wist dat er bepaalde mankementen waren, en was blij constructief met Rocketdyne te werken zodat ze hen contracten konden blijven toekennen. Volgens Brian was Rocketdyne echter veel te rooskleurig in hun communicatie, en waren er veel half-waarheden. Er wordt ergens melding gemaakt van een brief die Rocketdyne stuurt naar de overheid waarin staat dat ze in bezit zijn van de benodigde firewalls. Dat was technisch gezien geen leugen. Ze hadden die firewalls ook aangekocht. Ze waren enkel niet actief op de benodigde systemen.
Tja, dat zal allicht in die richting zitten ja, zijn eigen straatje schoonvegen. Er zal zeker weten een audit zijn geweest, maar wellicht heeft hij daar onder druk van het bedrijf dat rooskleurig moeten beantwoorden. Of wellicht zijn er beloftes gedaan over expansie, omdat ze nog in de groei zaten. Maar is daar vervolgens niet meer een controle op geweest. Dat is natuurlijk allemaal speculeren als buitenstaander.

Maar het komt wel vaker voor bij overheidsprojecten, dat als je eenmaal met 1 been binnen bent en er geen slechte signalen zijn. Dat men niet echt de moeite neemt om het nog eens te beoordelen, zal allicht ook een zaak zijn van capaciteit en prioriteiten.
Je moet de film Wardogs eens kijken om te zien hoe ver je bluffend komt de de overheid van de VS. Het is een misdaadcomedy maar gebaseerd op een waar verhaal.
Tipgeld.
Frustratie omdat je adviezen/werk/waarschuwingen in de wind worden geslagen en men naar de buitenwacht net doet alsof.
Tipgeld
Frustratie omdat jij de posterboy bent voor de leugens van het senior management.
Tipgeld
Frustratie omdat men onder valse voorwendselen winst weet te maken terwijl men met iets meer moeite de zaken wel op orde had gekregen als men jou wel voldoende budget en tijd had gegeven.
Tipgeld.

Dit kan ook een smet op je imago worden als later alsnog uitkomt dat men niet op orde had wat nu juist op jouw CV staat. Als dan blijkt dat jij niet aan de bel hebt getrokken maar wel een andere baan heb gescoord met die CV dan kan je bij je nieuwe opdrachtgever potentieel ook op straat geschopt worden. Je gaat niet "gewoon weg" als men een essentieel onderdeel van de organisatie niet op orde wenst te brengen en daar vervolgens ook nog eens over liegt, wetten gaat overtreden en potentieel kwestaar wordt voor (bedrijfs)spionage en sabotage en er wellicht veiligheidaspecten voor personen of materieel in het geding komen.
Had ik al geschreven dat je als klokkenluider ook tipgeld krijgt als het tot een veroordeling/schikking komt?
klokkenluider doe je echter niet met een rechtzaak tegen je eigen werkgever. Die rechtzaak laat je aan de overheid over op zo'n moment.
Dus je krijgt geen tipgeld met het beginnen van een rechtzaak tegen je werkgever...

Frustratie ga je ook geen rechtzaak om beginnen. Dan ga je weg. Je gaat ook geen rechtzaak beginnen als het hoger management niet naar jouw punten wil luisteren en een andere beslissing neemt. Dan ga je ook weg.

Dus het enige wat van jouw punten overblijft is dat het een probleem is op je CV als het uitkomt dat het bedrijf loog en jij voor die security verantwoordelijk was.

[Reactie gewijzigd door SunnieNL op 26 juli 2024 07:35]

In NL ga je wellicht weg maar dit is de VS.
Dus het kost je ongeveer 12 miljoen dollar om miljarden aan subsidie binnen te kunnen harken. Goede deal! (Ik lees niet dat die steun terug moet worden betaald.)
Dit is dus hoe misverstanden ontstaan en misinformatie!

Originele artikel: 'government funds'
Tweakers.net: 'overheidssteun'
tweaker reactie: 'subsidie'
Ik heb het inmiddels aangepast naar 'publieke middelen'. Dat dekt de lading beter. Bedankt voor de feedback in ieder geval !
Dat is nog steeds suggestief. Gebruik dan overheidscontracten ofzo, dan is tenminste duidelijk dat het geld uit een andere tegenprestatie komt dan datgene waar ze nu op gefraudeerd hebben.
Het is nog steeds suggestief. De overheid heeft gewoon betaald voor een geleverde dienst. Bovendien begint de zin erna nog met
De steun was afkomstig van NASA en het ministerie van Defensie.

[Reactie gewijzigd door avlt op 26 juli 2024 07:35]

Volgens mij gaat het hier inderdaad om overheids contracten waar men heeft betaald voor iets dat geleverd moet worden. Dit is toch niet hetzelfde als overheidssteun? :?
Dat is inderdaad heel wat anders. Alsof Heijmans overheidssteun krijgt om een weg aan te leggen. Of dat ambtenaren een uitkering krijgen.
Volgens mijn betekenen ze alle drie het zelfde. Potato potato
? Als de overheid een product koopt dan is het geen subsidie?

edit : zal volgende keer duidelijker omschrijven wat ik bedoel : natuurlijk is een aanschaf van een product geen subsidie 8-) als reactie op RoamingZombie in 'Raketmotorbedrijf schikt met overheid VS na vermeende leugen over cybersecurity'

[Reactie gewijzigd door bvdbos op 26 juli 2024 07:35]

Nee. Als de overheid een stoel koopt dan is dat gewoon een aanschaf en niet subsidie van de stoelenmaker. De overheid koopt ook toiletpapier. Dat is geen subsidie van edet.

Bij subsidie krijgt de stoelenmaker geld om iets te proberen of om iets goedkoper te maken dan het werkelijk is. Dat is niet van toepassing bij een gewone aanschaf.
De overheid koopt ook toiletpapier. Dat is geen subsidie van edet.
Dat is ook geen omzet van Edet (helaas).
Toiletpapier bij de overheid wordt echt geleverd door de allergoedkoopste aanbieder. Wat er op het toilet hangt zal door de productontwikkelars van Edet niet als toiletpapier worden herkend. ;)
haha, edet was het eerste merk dat in mij opkwam. wat ze werkelijk kopen maakt weinig uit. de aanschaf is geen subsidie
Nee. Een subsidie is:
Subsidie is een tijdelijke bijdrage van de overheid of een niet-commerciële organisatie ten behoeve van het starten van een activiteit waarvan het economische belang niet direct voor de hand ligt.Wikipedia (NL)
In dit geval gaat het om een aanbesteding door de overheid. Dat is iets heel anders, namelijk:
Een aanbesteding is een inkoopmethode waarbij een opdrachtgever een voorgenomen opdracht bekendmaakt. In de bekendmaking staat een programma van eisen waarin de eisen staan beschreven die de opdrachtgever aan het product of de dienst stelt.Wikipedia (NL)
Het bedrijf in kwestie heeft frauduleus voorgedaan aan een van de eisen te voldoen, terwijl dat in de praktijk niet klopte.

[Reactie gewijzigd door Planck op 26 juli 2024 07:35]

Potato, Potato, Patat in dat geval dan.
government funds => overheidsgelden => overheidsgeld
geldbedrag dat de overheid ter beschikking stelt aan een organisatie of aan een persoon voor een speciaal doel
Bron: https://nl.wiktionary.org/wiki/overheidsgeld

Dat kan natuurlijk subsidie zijn, maar dat kan natuurlijk ook gewoon een aankoop zijn. Daarnaast is het letterlijk vertalen van woorden zonder te kijken naar context natuurlijk super fout!
Eh, nee. In de ambtenarij (en in alle grote bedrijven waar ik ooit voor gewerkt heb) wordt een taal gebruikt die voor jou en mij misschien niet logisch is, maar bij de interne logica van de organisatie past.

Je mag je, bij zowel subsidies, aanschaffingen of zoals in dit geval uitbesteed werk, altijd vragen stellen over de effectiviteit, maar dat staat gelukkig helemaal los van de benaming.

Daarom hebben we in Nederland de Rekenkamer, in de VS de General Accounting Office, en onderzoeksjournalisten.
Funds is gewoon het budget dat een overheidsinstantie heeft om uit te geven. Dat is breder dan subsidies.
Die moet inderdaad niet terug worden betaald, er is nl. niet vastgesteld dat Aerojet gelogen heeft.

Er is daarover een rechtszaak gestart en die is nu geschikt, zonder dat Aerojet daarbij enige schuld bekent.
Klopt wat je zegt. Maar ook als is er gelogen, het gaat om het liegen over security maatregelen, niet om een product dat niet conform is.

Als de overheid eist dat ik Triple A sloten heb op alle deuren tegen diefstal en ik lieg daarover dan betekend dat niet dat het product dat ik verkoop niet deugd. Het zegt alleen dat mijn security onder te maat was en er data/producten gestolen hadden kunnen worden.

[Reactie gewijzigd door The_Woesh op 26 juli 2024 07:35]

En dat zien we heel vaak:
schikken - omdat dan de (aan)klager in ieder geval wat terug ontvangt.
Maar schuldig is men niet.

Dit kan gunstig is als men anders lang had moeten procederen en dien ten gevolge hoge rechtskosten had gemaakt.

De rechter kan misschien nog geen oordeel vellen omdat het bewijs niet voldoende is en komt zo onder de bepaling uit.

Lijkt win-win...

Echter: dankzij het feit dat het dus puur om geld draait is men nooit moreel aansprakelijk voor al dat gelieg waar vermoedelijk wel sprake van is.
Sterker nog: eigenlijk hadden ze dus niet mee mogen doen met de inschrijving omdat ze niet aan de voorwaarden voldeden. Op die manier hebben ze de concurrent wel een aardige hak gezet natuurlijk.
En dat zie je ook wel vaker: omdat ze weten welke voorwaarden noodzakelijk (en zwaarwegend) zijn voor een aanschrijving wordt gelogen over deze voorwaarden. En daarna kun je altijd nog kijken of het lukt om aan die voorwaarden te voldoen of het komt eigenlijk nooit ter sprake.
Die 2,6 miljard hebben ze niet in hun eigen zak gestoken. Inruil daarvoor hebben ze een product ontwikkeld en geleverd aan NASA en Defensie. Dus het geld is niet in rook opgegaan. Het dispuut gaat over een vereiste waar ze niet aan voldoen. Dan is een boete die inhakt op hun winst gepast.
Aha, The American Dream... wou dat ik een grapje maakt... Maar ff serieus, 9 miljoen tegenover Miljarden... waar heb je het als overheid dan over?
Kunnen ze nog wel een paar keer doen dan toch.
De miljarden waren voor de motoren, niet voor de cybersecurity. In dit geval was de cybersecurity niet op orde.

Ik heb ook sterk mijn twijfels of 'overheidssteun' wel de juiste vertaling is van 'government funds'. Als ik een computer verkoop aan de staat, is dat gewoon een verkoop van een product, 'overheidssteun' is naar mijn mening wat anders...
Hoewel dat klopt is het toch gek als het een vereiste is om de miljaren te ontvangen, om dan met 9 miljoen te schikken en eigenlijk te zeggen "oke foei, volgende keer moet je dit wel op orde hebben" (zo komt het over naar mij).

Het is ook niet zo zeer overheidssteun, maar meer een opdracht vanuit de overheid met een gigantisch contract. Netzoals hier overheids IT projecten uitbesteed worden aan de beste partij doen ze dat vanuit NASA ook.

Ik weet alleen ook niet hoe je dit echt netjes kan krijgen, want ja ze hebben onterecht het contract gekregen (en dus andere partijen niks), maar ze hebben wel gedaan wat gevraagd was qua project.
Die miljarden zijn geen winst, maar grotendeels dekking voor de hoge kosten. Die 9 miljoen gaat wel direct af van de winst. Aangezien het bedrijf geen winst maakt, maar verlies, is die 9 miljoen dus best wel veel geld.
De overheidssteun is simpelweg een betaling voor het ontwikkelen en produceren van raketmotoren, ze hadden dit alleen niet mogen doen omdat de beveiliging niet goed genoeg was. De ontwikkeling van de producten vond wel gewoon plaats, dus het hele bedrag afpakken is dan niet logisch.
Ik zie ruimte voor bedrijven die naast de opdracht hebben gegrepen om ook nog ergens geld te gaan eisen.
Dat is immers een beetje de Amerikaanse cultuur geworden? En als Rocketdyne de subsudie niet had gekregen was er ruimte voor een concurrent.
Ja en nee, Aerojet Rocketdyne is een reus en er zijn voor veel projecten simpelweg geen andere partijen die een geschikte raketmotor kunnen leveren. Je hebt concurrenten als Blue Origin en Orbital ATK die voor bepaalde projecten geschikte motoren kunnen leveren, maar Aerojet Rocketdyne zit in zo veel verschillende projecten dat je ze niet zomaar buiten spel kan zetten zonder in de problemen te komen met bijna iedere tak van defensie. Het is krom en er is wellicht het een en ander corrupt, maar gelukkig zijn er nog mensen bij de les en is bijvoorbeeld de overname van Lockheed Martin door Aerojet Rocketdyne destijds geblokkeerd om een grotere machtspositie te voorkomen.
De oud-werknemer heeft in april al een schikking getroffen met het bedrijf. Nu het ministerie van Justitie deze schikking heeft goedgekeurd, krijgt Markus 2,61 miljoen dollar.
Of Markus het beveiligingsbeleid van Aerojet Rocketdyne belangrijker vond, de staatsveiligheid, of zijn portemonnee wordt niet duidelijk uit het artikel. Wel wordt duidelijk dat Markus een intelligente jongeman is.
Wel wordt duidelijk dat Markus een intelligente jongeman is.
Jong valt wel mee, ik gok zo een jaar of 46... Dat zou ik geen jongeman meer noemen...
In Amerika, waar senior management vaak ver in de 60 is, is hij jong.
hieruit:
https://casetext.com/case...t-rocketdyne-holdings-inc
blijkt dat hij ontslagen is door rocketdyn en dat aangevochten heeft. Misschien kreeg hij de schuld van het hele gedoe en heeft hij op deze manier zijn gelijk gehaald?
Of hij een jongeman is weet ik niet ;)
Veel klokkenluider wetten hebben een bepaling waar een gedeelte van de boete naar de melder gaat. Het SEC heeft het over percentages van 10 tot 30% van de boete bij boetes over een miljoen!
Ik denk dat hij misschien integer werk belangrijker vond dan waar Aerojet Rocketdyne mee bezig was, is dat ook een optie..? Als je verantwoordelijk wordt gesteld voor het verbeteren van cybersecurity, maar je daar niet het personeel of het geld voor krijgt, en je werkgever vervolgens doodleuk roept dat alles dik in orde is ben je nog steeds eindverantwoordelijk en dus mega de pineut als dat fout gaat.

Op dit item kan niet meer gereageerd worden.