В США энергетическая компания заплатит беспрецедентные 2,7 млн штрафа за утечку данных
16.03.2018

Компания Pacific Gas and Electric, которая поставляет газ и электричество 5,2 млн потребителей в Калифорнии, заплатит рекордный штраф за инцидент, в результате которого хакеры могли бы получить удаленный доступ к критической инфраструктуре. Сумма штрафа, по соглашению с властями, составит 2,7 млн долларов.

Издание Gizmodo пишет, что комиссия штата по надзору в сфере энергетики заключила соглашение с неназванной компанией по поводу утечки данных. Об инциденте сообщили независимые ИБ-эксперты, которые обнаружили минимум 30 тыс. записей в незащищенном доступе в интернете. Регулятор не стал разглашать название компании, которая ни подтвердила, ни опровергла нарушение.

Между тем, уязвимые данные были связаны с объектами критической инфраструктуры, включая системы доступа к центрам управления подстанциями и системы контроля и сбора информации. Утечка создала серьезнейшую угрозу безопасности для бесперебойной работы объединенной энергосистемы.

Критические данные оставались в открытом доступе 70 дней. В дополнение к именам пользователей и паролям в незащищенном массиве содержалась «криптографическая информация». Воспользовавшись таким «бонусом», хакеры сумели бы расшифровать пароли и беспрепятственно проникнуть во внутреннюю систему с критически важными данными.

По версии Gizmodo, виновник инцидента – калифорнийская Pacific Gas and Electric. Ранее о критической утечке данных из компании сообщал ИБ-исследователь Крис Викери из команды UpGuard. Он обнаружил детальную информацию минимум о 47 тыс. компьютерах, виртуальных машинах, серверах и других компонентах сети. Изучив файлы, для просмотра которых не требовались логин и пароль, Крис Викери решил, что это данные системы управления активами Pacific Gas and Electric.

ИБ-эксперт рассказал, что IT-департамент тогда пытался объявить базу данных подделкой, но позже компания выпустила сообщение, где вопрос подлинности не поднимался. Крис Викери сообщил о находке в министерство внутренней безопасности США, чтобы убедиться, что доступом к данным не завладели террористы и другие враждебные силы, поскольку инцидент произошел в энергетическом секторе.

Размер штрафа, о котором Pacific Gas and Electric договорилась с местным регулятором, – 2,7 млн долларов. За подобное нарушение это крупнейший штраф из числа тех, о которых известно публично. Сумму должна одобрить Федеральная комиссия по регулированию в области энергетики.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.