クレジット:
政府最大の再生可能電力送電機関は、電力スケジュールデータベースを保護するためにデフォルトのパスワードを使用しており、定期的にセキュリティの更新に失敗していましたソフトウェアとエネルギー省監察官が発見した。
Western Area Power Administration は、ロッキー山脈、シエラネバダ、グレート プレーンズ、および南西部地域の何百万もの家庭や企業にサービスを提供する電力会社に水力発電エネルギーを販売し、供給しています。代理店が依存しているのは、情報技術システム連邦当局者らによると、大規模な電力複合体と財政を管理するためだという。
テストの結果、「デフォルトのユーザー名とパスワードで構成されていた」公開サーバーが判明したと、ある人は述べています。新しいレポートエネルギー監察官グレゴリー・H・フリードマン著。 「このリスクの高い脆弱性は、攻撃者によってインターネット接続から悪用され、電力スケジュール システムをサポートする内部データベースに不正アクセスされる可能性があります。」
金曜に発表された監査報告書によると、侵入者は同じ不具合を通じてウエスタンのオフィスや顧客のオフィスにある他のコンピュータステーションにもアクセスした可能性があるという。フリードマン氏は、IG職員らは「業務への潜在的な影響を懸念して」電力の流れを制御する監視制御・データ取得(SCADA)システムを調査しなかったと書いた。
調査員が評価した 105 台のワークステーションのうち、ほぼすべてにソフトウェア パッチに関連する高リスクの脆弱性が少なくとも 1 つ含まれていました。あるネットワークサーバーが古いソフトウェアを実行しており、犯人が遠隔地からサーバーを操作する「リモートコード実行」攻撃を実行した場合、「通常の業務運営が混乱する可能性がある」と報告書は述べている。
Western はまた、従業員に自社のシステムへのアクセスを許可することにおいても寛大すぎました。少なくとも5件の事例では、政府機関は、職員が政府機関での勤務をやめた後も、電力の保守やスケジュール管理に使用されるコンピュータへのアクセスをブロックしなかった。 「元従業員は退職して1年以上経っていたが、まだスケジュールシステムにアクセスしていた」とフリードマン氏は書いた。
この状況における問題は、一定期間非アクティブな状態が続いた後に西側当局がユーザーアカウントを自動的に無効にしていなかったことだと同氏は述べた。 「これらのアクセスセキュリティ制御を実装しないと、知識のある個人が情報技術リソースを不正な、場合によっては悪意のある目的で使用する結果となり、ウエスタンの業務に悪影響を与える可能性がある」とフリードマン氏は付け加えた。
2011 年度のウエスタンの営業収益は合計 14 億ドル、営業費用は 10 億 2000 万ドルでした。この機関は、17,000 マイルの送電線と 296 の変電所を通じて電力を販売および送電しています。
でワシントンでのイベント政府エグゼクティブメディアグループが主催する10月31日の講演では、エネルギー省と国土安全保障省の関係者が、公共部門と民間部門の電力会社がサイバーセキュリティネットワークへの投資を優先できるよう支援することを目的とした現在の活動について説明する。
Westernの監査で明らかになったセキュリティ上のギャップのほとんどは、そのような脆弱性を回避できたはずのポリシーや手順に従わなかった結果であると監察長官は述べた。たとえば、一部の弱点は「Westernのスキャンプロファイルが、システムのダウンを避けるために通常よりも侵入性の低いスキャンを実行するように設定されていたため、特定されなかった」と同氏は書いている。西側当局者らはIGに対し、脅威をより効果的に検出するためにスキャンをリセットしたと語った。
報告書によると、西側当局は査察官が推奨した修正とプログラムの改善を実行することに同意したという。
「監査の結果としてこれまでにとられた措置に基づき、また監察総監の勧告を十分に考慮した上で、ウェスタンは効果的なセキュリティプログラムを維持し続けると信じている」とウェスタンの管理者代理アニタ・デッカー氏は9月19日付けの記事で述べた。報告書草案を検討した後の手紙。 「当社は引き続きITインフラを保護し、堅牢で効果的なサイバーセキュリティプログラムを維持することに尽力します。」
