(15 март 2018 г.)

Управлението на последствията от изтичане на данни е продължителен и ангажиращ процес. Обикновено се включват надзорния орган и представители на всички засегнати страни. Когато инцидентът е по причина на подизпълнител, то изпратилия данните е длъжен да провери и осигури надеждността му. В случая, който е изложен в следващите редове, подизпълнителят е обучаван да пази данните, съгласно нормалите в бранша, които са представени в края на текста без подробности.

Следва описание на случая, типична ситуация с изтичане на данни от мрежата на подизпълнител, които са свързани с критична инфраструктура можем да видим в официалния документ, издаден от North American Electric Reliability Corporation (NERC).

Неназовано дружество от енергийния сектор (unidentified registered entity, URE), регистрирано в North American Electric Reliability Corporation (NERC), е наказано да плати глоба в размер на $2,7 милиона за неспазване на правилата, регламентите и указанията на Федералната енергийна регулаторна комисия (FERC). Изследовател бяла шапка откри, че в продължение на повече от два месеца чувствителни данни, които са позиционирани в системата от ИКТ на дружеството,  са били изложени онлайн без контрол.

URE получава доклад за онлайн експозиция на данни с данни, които вероятно са свързани с URE. Докладът e направен от добронамерен изследовател на сигурността (white hat, бяла шапка), който не е свързан с URE. Изпълнител на URE, трета страна, надвишава разрешения достъп чрез неправилно копиране на някои данни за URE от мрежата на URE. Данните се позиционират в обкръжението на мрежовата среда на изпълнителя, където те вече не са били видими за URE и без контрол от негова страна. Изпълнителят не е спазил програмата за защита на информацията на URE, по която е бил обучен. Макар данните да са били в мрежата на изпълнителя, набор актуални данни за URE се оказват достъпни онлайн, без да е необходимо дори въвеждане на потребителски идентификатор или парола. Тази подгрупа от данни включва 30 000 записи за активи, включително записи, свързани с критични кибернетични активи (Critical Cyber Assets (CCAs). Записите съдържат информация за IP адреси и имена на хост сървъри. Информацията, свързана с CCA, остава достъпна в Интернет за общо 70 дни. Експертите от URE преглеждат системните дневници (syslog) на изпълнителя и установяват, че записите в журналите показват неоторизиран достъп до въпросния набор от  данни за URE от неизвестни IP адреси, както и от IP адреси, които са свързани с бялата шапка, изследователя по сигурността, който е уведомил URE за излагането на данните.
URE неформално уведомява  Western Electricity Coordinating Council (WECC) за инцидента и докладва как управлява ситуацията. URE и WECC провеждат множество дискусии и срещи по случая през следващите два месеца. Четири месеца след като е открил инцидента, URE подава актуализирана информация за инцидента на WECC.
Въз основа на информацията от доклада на URE за инцидента и исканията за допълнителни данни от WECC, WECC препоръчва на URE да състави официален Самостоятелен отчет за проблемите. Самостоятелния отчет се базира на собственото разследване. WECC определи, че URE не е изпълнила адекватно програмата си идентифицира, класифицира и защитава свързаната със CCA информация, както се изисква от CIP-003-3 R4. WECC също така, че URE не успя да приложи адекватно програма за управление на достъпа до защитена информация, свързана с CCA, както се изисква от CIP-003-3 R5.