Американскую энергокомпанию оштрафовали на $10 млн за нарушение стандартов безопасности
В общей сложности NERC выявила 127 нарушений, из них 13 были расценены как «серьезные».
Североамериканская корпорация по надежности энергоснабжения (North American Electric Reliability Corporation, NERC) оштрафовала крупную американскую энергетическую компанию на рекордную сумму в размере $10 млн за нарушение стандартов CIP (Critical Infrastructure Protection). Хотя в сообщении не указывается название компании, по данным ряда СМИ, речь идет о корпорации Duke Energy, занимающейся производством и распределением энергии.
Стандарты NERC CIP устанавливают требования по физической кибербезопасности для операторов объединенной энергосистемы Северной Америки.
В общей сложности NERC выявила 127 нарушений, из них 13 были расценены как «серьезные», остальные классифицированы как «средней» или «умеренной» степени тяжести. В совокупности нарушения представляли серьезный риск для безопасности и надежности объединенной энергосистемы, отметили в организации.
Список серьезных нарушений включает некорректно сконфигурированные межсетевые экраны и системы обнаружения вторжений, отсутствие управления физическим доступом, отказ от установки доступных обновлений ПО на протяжении месяцев и даже лет, отсутствие мониторинга инцидентов безопасности, передача паролей другим сотрудникам, использование установленных по умолчанию учетных данных и другие проблемы с безопасностью учетных записей, отсутствие базовых конфигураций, наличие рисков безопасности в связи с использованием временных кибер-активов (временно подключенных систем для передачи данных или оценки уязвимостей), отсутствие защиты данных о системе энергоснабжения.
В числе причин многих из этих проблем организация назвала отсутствие административного надзора и внутреннего контроля, а также недостаточную квалификацию сотрудников. Компания уже устранила некоторые из этих нарушений, однако остальные по-прежнему присутствуют.
Североамериканская корпорация по надежности энергоснабжения (North American Electric Reliability Corporation, NERC) представляет собой саморегулируемую некоммерческую организацию, в которую входят представители всех сфер отрасли: энергокомпании, государственные органы, потребители. К основным функциям NERC относятся разработка, согласование и контроль за соблюдением стандартов надежности (CIP) функционирования энергосистемы, мониторинг и анализ проблем, связанных с надежностью. Стандарты надежности являются обязательными для субъектов отрасли.
Домашний Wi-Fi – ваша крепость или картонный домик?