Amerikalı enerji şirketinin veri sızıntısı pahalıya mal oldu: 2,7 milyon dolar.
Securityweek.com’un haberine göre Kuzey Amerika Elektrik Güvenilirlik Kurumu (NERC), geçtiğimiz ay ismi açıklanmayan enerji şirketinin çarptırıldığı cezayı ödeyeceğini ve gelecekte yaşanabilecek sızıntıları önlemek adına önlem alacaklarını açıkladığını bildirdi.
Kuruluşun ismi açıklanmazken NERC tarafından yayınlanan ceza bildirimi olayla ilgili bazı detaylar içeriyor. Buna göre enerji şirketi cezayı ödemeyi kabul etmekle birlikte NERC’in güvenlik standardı olan Kritik Altyapı İnşaatını Koruma (CIP) maddelerini çiğnediklerini kabul ya da ret etmedi. Risk derecesi ‘ciddi’ olarak belirlenen olayda üçüncü taraf yüklenicinin, enerji firmasından verileri kendi kullanımı için kopyaladığı görülüyor.
İlgili haber>> 140 milyon ABD’linin bilgisini çaldıran şirkete yasak çağrısı
Yüklenicinin deneyimli olmasına rağmen şirketin bilgi koruma programına uymadığı belirtiliyor. Bir araştırmacı, yüklenicinin isteyen herkese kullanıcı adı ya da şifre gerekmeksizin verilere erişme izni verdiğini söyledi. NERC’ye göre kritik siber varlıklar, IP adresleri ve ana sunucu isimleri dâhil 30 binden fazla kayıt ifşa oldu. Bilgi yalnızca 70 gün için çevrimiçi kaldı.
Cezayı ilk duyuran E&E News haber sitesi, şüphelilerden birinin Kaliforniya merkezli doğalgaz ve elektrik şirketi Pasifik Gaz ve Elektrik (PG&E) olduğunu ve bu şirketin geçmişi 2016’ya dayanan çok sayıda bilgi ifşa ettiğini öne sürdü. O dönemde MacKeeper’da çalışan Araştırmacı Chris Vickery, 47 bin bilgisayar, sunucu, sanal makine ve diğer cihazlardaki bilgileri içeren yanlış ayarlanmış bir veri tabanı keşfetti. PG&E, önce verinin sahte olduğunu açıklarken daha sonra bir satıcının kayıtları ifşa ettiğini kabul etti.
NERC belgesinde bahsi geçen detayların büyük kısmı PG&E olayıyla paralellik gösteriyor. Vickery, E&E News’a yaptığı açıklamada NERC belgesinde tarif edildiği gibi PG&E’nin kendisine veriyi sildirdiğini ve yeminli beyanda bulundurduğunu söyledi.
İlgili haber>> NSA sızıntısı: Milyon dolarlık siber silahlar çocukların eline mi geçti?
Birkaç yıl önce Ukrayna’yı vuran siber saldırıların ardından ABD’deki enerji sektörü, bu tür olayları durdurmak için önlemler alıyor. ABD Enerji Bakanlığı kısa süre önce siber üvenlik projelerine 20 milyon dolar üzerinde yatırım yapma ve Siber Güvenlik, Enerji Güvenliği ve Acil Durum Müdahalesi Birimi (CESER) kurma niyetinde olduğunu açıklamıştı.
Federal Enerji Düzenleme Komisyonu da (FERC) kısa bir süre önce, ulusal elektrik sisteminin güvenilirliği ve dayanıklılığını güçlendirecek yeni bir siber güvenlik yönetimi denetimi kurulmasını önermişti. Geçtiğimiz yıl senatörler tarafından sunulan ‘Enerji Altyapısını Koruma Eylem Planı’ tasarısı enerji sektöründeki zayıf noktaların belirlenmesi için bir pilot program kurulmasını amaçlıyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
