アメリカの電力会社が、機密データを不用意にオンラインで漏洩させ、エネルギー産業として順守すべきサイバーセキュリティ基準に違反したことに対して270万ドルの課徴金を払うことを了承しました。
2月28日付の北米電力信頼性評議(NERC)の電子文書ファイルは、この匿名の事業主は、違反を認めも否定もせず、この決定を受け入れたとしています。
米国連邦エネルギー規制委員会(FERC)宛の通告によると、この電力会社はセキュリティ調査を行った調査員から、IPアドレスやサーバのホスト名といった情報を含む30,000件以上もの資産記録がオンライン上で発見されたと報告されていたことが明らかになりました。
同通告はさらに、「情報には、データベースのユーザ名やその暗号に関連する情報も含まれ、70日間にわたってインターネット上に公開されていた。」としています。
NERCによると、こういったセキュリティ上の見落としがあると、ハッカーはそこから電力供給システムにアクセス出来るようになります。
ユーザ名や暗号関連情報が漏洩すると、悪質な攻撃者がパスワードを解読するのに利用されてしまいます。情報は、攻撃者が物理的に、そして遠隔からでも未確認登録機関(URE)システムに侵入するリスクを高めます。攻撃者はこの情報を利用して、安全なインフラを破り、ネットワークを通じてホストからホストに飛び移りクリティカルサイバー資産(CCAs)の中にアクセスしてしまうのです。
同通告はまた、同電力会社の違反を軽減し将来のコンプライアンスを促進するため、同社がとるべき追加的対処・措置についても合意したとしています。
そこには、データ流出を止めるためのソフトウェア開発用サーバのシャットダウン、様々なフォレンジック分析の実施、データベースへのアクセス制御の変更、セキュリティコントロールの向上なども含まれています。
FERC側が見直さない限り、通告が告示されて31日後には課徴金が科せられることになります。
承認されれば、数百万ドルという課徴金はエネルギー産業史上、サイバーセキュリティ規制遵守関連で最高額となるでしょう。