Американская энергокомпания оштрафована на $10 млн за нарушение стандартов безопасности
В письме регулятора, появившемся в сети, название компании скрыто в целях сохранения конфиденциальности, однако по данным некоторых СМИ (The Wall Street Journal, E&E News), ссылающихся на источники в отрасли, речь идет о Duke Energy, занимающейся генерацией, передачей и распределением электроэнергии. Предыдущий рекорд по сумме штрафа, назначенного в прошлом году компании Pacific Gas & Electric, составлял $2,7 млн.
Нарушения представляют серьезный риск для безопасности и надежности объединенной энергосистемы.
В общей сложности NERC выявила 127 нарушений, из них 13 были расценены как серьезные, степень тяжести остальных классифицирована как средняя или умеренная. Список серьезных нарушений включает некорректно сконфигурированные межсетевые экраны и системы обнаружения вторжений, отсутствие управления физическим доступом, отказ от установки доступных обновлений ПО на протяжении нескольких месяцев и даже лет, отсутствие мониторинга инцидентов безопасности, передача паролей другим сотрудникам, использование установленных по умолчанию учетных данных и другие проблемы с безопасностью учетных записей, отсутствие базовых конфигураций, наличие рисков безопасности в связи с использованием временных киберактивов (временно подключенных систем для передачи данных или оценки уязвимостей), отсутствие защиты данных о системе энергоснабжения.
В числе причин многих из этих проблем организация назвала отсутствие административного надзора и внутреннего контроля, а также недостаточную квалификацию сотрудников. В совокупности нарушения представляли серьезный риск для безопасности и надежности объединенной энергосистемы, считает регулятор. Компания уже устранила некоторые нарушения.
NERC представляет собой международную некоммерческую регуляторную организацию, в которую входят представители энергокомпаний, государственных органов и потребителей. К основным функциям NERC относятся разработка, согласование и контроль за соблюдением стандартов надежности функционирования энергосистем, мониторинг и анализ проблем надежности. Стандарты CIP NERC устанавливают требования по физической и кибербезопасности для операторов объединенной энергосистемы Северной Америки и являются обязательными для всех субъектов отрасли. [securitylab.ru, nerc.com, eenews.net]