Беспрецедентный штраф в размере 2,7 миллиона долларов заплатит американская энергетическая компания за упущения в кибербезопасности, в результате которых хакеры могли получить доступ к ее внутренним системам, сообщает Gizmodo.
Как следует из письма североамериканской организации по надзору за электрической инфраструктурой (North American Electric Reliability Corporation, NERC), адресованного Федеральной комиссии по управлению энергетикой (Federal Energy Regulatory Commission, FERC), компания согласилась на выплату штрафа после того, как специалист в области информационной безопасности обнаружил в открытом доступе данные фирмы, незащищенные даже паролем.
Название компании в документе не раскрывается, но отмечается, что допущенные ею нарушения представляли серьезную угрозу для бесперебойной работы объединённой энергосистемы. В частности, незащищенные данные были связаны с критически важными активами, в том числе с системами доступа к центрам управления и подстанциям компании, а также с системой контроля и сбора данных.
Указанные данные, включая имена пользователей и информацию по шифрам и кодам, с помощью которой злоумышленники могли расшифровать пароли для доступа и незаконно проникнуть в компьютерную систему компании, были доступны онлайн на протяжении 70 дней.
Что же за компания допустила такое? По версии Gizmodo, речь, вероятно, может идти о Pacific Gas and Electric (PG&E). В мае 2016 года об утечке ее данных сообщил специалист по кибербезопасности компании UpGuard Крис Викери (Chris Vickery).
"На прошлой неделе я выявил утечку данных Pacific Gas and Electric, крупного поставщика электроэнергии из Калифорнии. Попавшая в публичный доступ база данных оказалась системой управления активами PG&E. Среди прочего в ней содержались сведения о более чем 47 000 компьютеров PG&E, виртуальных машинах, серверах и других устройствах. Все данные абсолютно не защищены и чтобы их просмотреть, не требуется никаких логинов или паролей", - писал тогда о своем открытии ИБ-эксперт.
По словам Викери, компания пыталась отрицать утечку, утверждая, что база данных ненастоящая. Впрочем, позднее в PG&E отказались от этого заявления. Викери заявил, что уведомил об инциденте Министерство национальной безопасности, чтобы там проверили, не воспользовались ли упущением PG&E злоумышленники.
По данным портала E&E News, который первым сообщил о наложенном на энергокомпанию взыскании в 2,7 миллиона долларов, это крупнейший штраф за такого рода нарушение. Окончательное решение по данному поводу должна вынести Федеральная комиссия по управлению энергетикой.
