В сети появился документ, адресованный одной из энергетических компаний США и уведомляющий адресата о необходимости уплаты штрафа за нарушение стандартов защиты критической инфраструктуры. Дело можно было бы назвать обычным, если бы не сумма штрафа - $10 миллионов, и количество обнаруженных уязвимостей системы – 127.
Проверку провела корпорация NERC (North American Electric Reliability Corporation), которая специализируется на оценке надежности физических систем кибербезопасности. По итогу, 13 из 127 обнаруженных нарушений системы безопасности, были расценены, как "серьезные".
NERC подчеркивает: большинство выявленных нарушений – результат слабого административного контроля и осведомленности персонала о требованиях стандартов CIP (Critical Infrastructure Protection). Установлены факты отказа от существующих обновлений ПО на протяжении месяцев, передача паролей сотрудникам, не относящимся к подразделениям безопасности предприятия, оставление некоторой информации в учетных записях "по умолчанию". Также зафиксирована некорректная конфигурация межсетевых экранов и систем обнаружения вторжений, отсутствие мониторинга инцидентов безопасности, отсутствие защиты данных о системе энергоснабжения.
Документ отредактирован с целью сохранения конфиденциальности адресата. Но некоторые американские издания считают, что речь идет о энергопроизводящей корпорации Duke Energy.
