Det amerikanske Government Accountability Office (GAO) retter i en ny rapport en sønderlemmende kritik mod den største el-leverandør i USA. Ifølge rapporten har Tennessee Valley Authority (TVA) sjusket med it-sikkerheden på flere niveauer - i værste fald kan en hacker trænge ind fra nettet og slukke for strømforsyningen til 8,7 millioner amerikanere.
Energiselskabets kontrolnetværk, som styrer elproduktionen i kraftværkerne, er koblet direkte til det firmanetværk, som også er forbundet med internet. Og firmanetværket mangler den nødvendige beskyttelse mod angreb fra nettet. Firewalls er forkert sat op eller deaktiveret fra starten, der mangler en effektiv virusbeskyttelse og der er kun begrænset logning af aktiviteten i systemet.
Og kritikken fortsætter ned gennem alle niveauer - lige fra den overordnede sikkerhedspolitik, som nærmest er ikke-eksisterende, til den manglende installation af sikkerheds-opdateringer på de enkelte arbejdsstationer. Der mangler intrusion detection systemer til at fange angreb fra nettet og kodeord anvendes kun i begrænset omfang.
GAO kritiserer også den fysiske sikkerhed omkring de kritiske kontrolsystemer - og faktisk kunne inspektørerne end ikke finde en komplet liste over alle de vigtigste systemer. Uden en sådan liste er det ikke muligt at udarbejde en plan for, hvordan systemerne skal beskyttes, hedder det i rapporten.
Hele rapporten, som GAO har afleveret til den amerikanske kongres, kan hentes som pdf-dokument.