故意向政府销售有漏洞的数字产品，行业巨头被罚7000万元

生物技术巨头因美纳被指虚假宣称其检测设备符合政府安全标准，但实际上存在大量安全漏洞。

安全内参8月5日消息，美国生物技术公司因美纳（Illumina）已同意向美国政府支付980万美元（约合人民币7042万元），以解决其涉嫌向政府出售存在安全漏洞的基因检测系统一事。该公司明知系统存在漏洞，却未加以修复。

内部人举报因美纳

故意销售有漏洞产品

7月31日，美国司法部宣布达成和解协议，以回应一名内部举报人提出的指控。举报人称，在过去七年多的时间里，因美纳持续向政府销售其明知存在安全隐患的DNA检测设备。在此期间，因美纳向多个政府机构提交了大量发票，要求为这些声称符合网络安全标准、实则未达标的设备付款。因此，因美纳被认定为构成“提交虚假申报材料”的违法行为。

美国卫生与公众服务部监察长办公室的特别探员负责人Roberto Coviello在一份声明中表示：“未能遵守必要的网络安全标准可能造成严重后果，尤其是在处理敏感基因组数据的系统中。”

根据2023年提交的初始投诉，因美纳的系统储存着患者的机密基因检测结果，而该公司无视已知问题、未遵守安全规定，使这些数据面临潜在泄露风险。不过，投诉中并未指出已有实际数据泄露事件发生。

尽管如此，美国司法部在2023年指出，因美纳“在争夺并维持全球基因检测市场主导地位的过程中，完全忽视网络安全要求”，并允许多个已知问题出现在量产设备中。

因美纳并非一家无足轻重的小公司。根据投诉，因美纳控制着全球超过80%的基因检测市场。这意味着，如果你曾在医院接受过基因检测，你的样本很可能是通过因美纳的设备完成的。

投诉中特别指出多个关键问题，包括：用户账号权限设置不当、设备中硬编码存储用户凭据、以及未有效应对内部威胁风险。投诉中还提到，相关软件问题曾导致两次产品召回，分别发生在2022年和2023年4月，而美国司法部指出，直到2023年9月提交投诉时，这些问题仍未解决。

美国司法部在2023年指出：“目前市面上的因美纳产品仍存在严重的网络安全漏洞，威胁检测数据的完整性，并损害患者隐私。”“本案正是司法部依托其民事网络欺诈倡议，并依据虚假申报法所要打击的典型欺诈行为。”

此次赔偿对因美纳影响有限

因美纳方面并未承认政府的相关指控。该公司告诉外媒The Register，其同意和解是“为避免诉讼所带来的不确定性、成本与干扰”。这种表述在类似案件中较为常见。因美纳还补充称，相关软件问题已于2022年至2024年间得到修复。

该公司一位发言人表示：“政府机构是我们重要的客户，因美纳非常重视这类合作关系。我们高度重视数据安全，并已在产品开发与部署过程中投入大量资源，以确保符合网络安全最佳实践。我们很高兴能够翻开新的一页。”

尽管The Register并未质疑因美纳在安全方面的承诺，但仍指出了一起未在此次诉讼中提及的网络安全问题。

The Register在今年1月曾报道，因美纳的iSeq 100 DNA测序仪出厂时搭载了一个已有6年历史、易受恶意软件和勒索软件攻击，甚至可能导致设备变砖的BIOS。该设备出厂时未启用安全启动功能，几乎没有任何固件层面的保护措施，任何人都可以在不被察觉的情况下篡改底层代码。因美纳当时回应称，公司已建立监督与问责机制，以防此类问题再次发生。

这笔赔偿款对因美纳整体业务影响可能极为有限。根据投诉，因美纳通过向政府提供硬件、软件和服务所签订的合同，累计收入“至少达数亿美元”。该公司按计划于7月31日收盘后公布财报，其2025年第一季度净利润达到1.31亿美元。

参考资料：theregister.com