Georgia Tech Research Corporation Pays $875,000 to Settle Cyber-Fraud Allegations*
By Carol A. Gasser Moore / *Spanish translation follows news in English
ATLANTA – The Georgia Tech Research Corporation (GTRC) has agreed to pay the United States government $875,000 to resolve allegations that it violated the False Claims Act and federal common law by failing to meet cybersecurity requirements under several Department of Defense (DoD) contracts, including work for the Air Force and the Defense Advanced Research Projects Agency (DARPA). 
The settlement stems from sensitive cyber-defense research conducted at Georgia Tech’s Astrolavos Lab, where investigators alleged that required cybersecurity safeguards were not implemented. According to federal filings, the lab failed to run anti-virus or anti-malware tools on computers and servers, did not maintain a system security plan until at least February 2020, and submitted a cybersecurity compliance score to DoD in 2020 that federal officials described as “false” because it was based on a fictitious IT environment.
Assistant Attorney General Brett A. Shumate stated that such lapses can expose government systems to “malicious actors and cyber threats.” U.S. Attorney Theodore S. Hertzberg for the Northern District of Georgia added that contractors who ignore cybersecurity requirements or misrepresent their compliance “will be held accountable.”
Whistleblowers and Recovery
The lawsuit was originally filed by Christopher Craig and Kyle Koza, members of Georgia Tech’s cybersecurity team, under the qui tam provisions of the False Claims Act, which allow private citizens to bring forward fraud claims on behalf of the government. They will receive $201,250 of the settlement as their share.
Impact on South Georgia
Though the case centers on Georgia Tech in Atlanta, its implications reach across the state, including South Georgia communities where many residents serve in the military, rely on defense-related research, or work in industries tied to cybersecurity compliance. Local experts note that institutions and contractors—even far from Atlanta—are now on notice: strict adherence to NIST SP 800-171 standards and the new Cybersecurity Maturity Model Certification (CMMC) rules is required in order to maintain defense contracts.
“This isn’t just about Atlanta,” one Lanier County IT consultant observed. “When universities or contractors fail in cybersecurity, it potentially jeopardizes programs that support our service members—including those from South Georgia bases and communities.”
Federal Oversight
The investigation was a coordinated effort by the Department of Justice, the Defense Criminal Investigative Service (DCIS), the Air Force Office of Special Investigations (AFOSI), the Air Force Materiel Command, and DARPA. Trial Attorney Joanna Persio and Assistant U.S. Attorneys Melanie D. Hendry and Adam D. Nugent handled the case.
While GTRC agreed to the settlement, it did not admit liability. The claims resolved are allegations only. Still, the resolution represents one of the first major university-centered settlements under DOJ’s Civil Cyber-Fraud Initiative, a program designed to enforce cybersecurity promises made in federal contracts.
_____________________________________
For our Spanish speakers | Para nuestros hablantes de español
_____________________________________
Traducción al Español
(Traducción realizada con asistencia de IA)
La Corporación de Investigación de Georgia Tech pagará $875,000 para resolver acusaciones de fraude cibernético*
Por Carol A. Gasser Moore / *La traducción al español sigue a la noticia en inglés
ATLANTA – La Corporación de Investigación de Georgia Tech (GTRC) acordó pagar $875,000 al gobierno de los Estados Unidos para resolver acusaciones de que violó la Ley de Reclamos Falsos y la ley común federal al no cumplir con los requisitos de ciberseguridad en varios contratos con el Departamento de Defensa (DoD), incluidos proyectos para la Fuerza Aérea y la Agencia de Proyectos de Investigación Avanzada de Defensa (DARPA).
El acuerdo surge de investigaciones en el Laboratorio Astrolavos de Georgia Tech, donde, según documentos federales, no se instalaron ni ejecutaron programas de antivirus ni antimalware en las computadoras y servidores, no se creó un plan de seguridad hasta al menos febrero de 2020, y en 2020 se entregó al DoD una puntuación de cumplimiento de ciberseguridad que funcionarios federales calificaron de “falsa” porque se basaba en un entorno informático ficticio.
El Fiscal General Auxiliar Brett A. Shumate declaró que estas fallas pueden exponer sistemas gubernamentales a “actores maliciosos y amenazas cibernéticas.” El Fiscal Federal Theodore S. Hertzberg para el Distrito Norte de Georgia agregó que los contratistas que ignoren los requisitos de ciberseguridad o presenten información falsa “serán responsables.”
Denunciantes y recuperación
La demanda fue presentada inicialmente por Christopher Craig y Kyle Koza, miembros del equipo de ciberseguridad de Georgia Tech, bajo las disposiciones qui tam de la Ley de Reclamos Falsos, que permiten a los ciudadanos presentar casos de fraude en nombre del gobierno. Ellos recibirán $201,250 del acuerdo como su parte.
Impacto en el sur de Georgia
Aunque el caso se centra en Georgia Tech en Atlanta, sus implicaciones alcanzan a todo el estado, incluidas las comunidades del sur de Georgia donde muchos residentes sirven en las fuerzas armadas, dependen de la investigación relacionada con la defensa o trabajan en industrias vinculadas al cumplimiento de ciberseguridad.
“Esto no se trata solo de Atlanta,” dijo un consultor de TI en el condado de Lanier. “Cuando universidades o contratistas fallan en ciberseguridad, potencialmente ponen en riesgo programas que apoyan a nuestros militares, incluidos los que provienen de bases y comunidades del sur de Georgia.”
Supervisión federal
La investigación fue un esfuerzo coordinado entre el Departamento de Justicia, el Servicio de Investigación Criminal de Defensa (DCIS), la Oficina de Investigaciones Especiales de la Fuerza Aérea (AFOSI), el Comando de Material de la Fuerza Aérea y DARPA. La abogada Joanna Persio y los fiscales federales adjuntos Melanie D. Hendry y Adam D. Nugent llevaron el caso.
Aunque GTRC aceptó el acuerdo, no admitió responsabilidad. Las acusaciones resueltas son solo alegaciones. Sin embargo, este resultado representa uno de los primeros acuerdos importantes centrados en universidades bajo la Iniciativa Civil de Fraude Cibernético del DOJ, un programa diseñado para hacer cumplir las promesas de ciberseguridad en los contratos federales.
