Компания Pacific Gas and Electric, которая поставляет газ и электричество 5,2 млн потребителей в Калифорнии, заплатит рекордный штраф за инцидент, в результате которого хакеры могли бы получить удаленный доступ к критической инфраструктуре. Сумма штрафа, по соглашению с властями, составит 2,7 млн долларов.
Издание Gizmodo пишет, что комиссия штата по надзору в сфере энергетики заключила соглашение с неназванной компанией по поводу утечки данных. Об инциденте сообщили независимые ИБ-эксперты, которые обнаружили минимум 30 тыс. записей в незащищенном доступе в интернете. Регулятор не стал разглашать название компании, которая ни подтвердила, ни опровергла нарушение.
Между тем, уязвимые данные были связаны с объектами критической инфраструктуры, включая системы доступа к центрам управления подстанциями и системы контроля и сбора информации. Утечка создала серьезнейшую угрозу безопасности для бесперебойной работы объединенной энергосистемы.
Критические данные оставались в открытом доступе 70 дней. В дополнение к именам пользователей и паролям в незащищенном массиве содержалась «криптографическая информация». Воспользовавшись таким «бонусом», хакеры сумели бы расшифровать пароли и беспрепятственно проникнуть во внутреннюю систему с критически важными данными.
По версии Gizmodo, виновник инцидента – калифорнийская Pacific Gas and Electric. Ранее о критической утечке данных из компании сообщал ИБ-исследователь Крис Викери из команды UpGuard. Он обнаружил детальную информацию минимум о 47 тыс. компьютерах, виртуальных машинах, серверах и других компонентах сети. Изучив файлы, для просмотра которых не требовались логин и пароль, Крис Викери решил, что это данные системы управления активами Pacific Gas and Electric.
ИБ-эксперт рассказал, что IT-департамент тогда пытался объявить базу данных подделкой, но позже компания выпустила сообщение, где вопрос подлинности не поднимался. Крис Викери сообщил о находке в министерство внутренней безопасности США, чтобы убедиться, что доступом к данным не завладели террористы и другие враждебные силы, поскольку инцидент произошел в энергетическом секторе.
Размер штрафа, о котором Pacific Gas and Electric договорилась с местным регулятором, – 2,7 млн долларов. За подобное нарушение это крупнейший штраф из числа тех, о которых известно публично. Сумму должна одобрить Федеральная комиссия по регулированию в области энергетики.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных