Een rioolwaterzuiveringsinstallatie in de Verenigde Staten is mogelijk het slachtoffer van sabotage door een werknemer geworden. Volgens het bedrijf zou een onderhoudswerknemer van het controlesysteem het systeem tenminste vier keer onrechtmatig hebben benaderd.

In één van deze gevallen overstroomde het bassin van de rioolwaterzuivering, zo stelt het bedrijf. Het besloot het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid in te schakelen om te bepalen of de werknemer inderdaad ongeautoriseerde toegang tot het systeem had gekregen en daarmee het bassin had laten overstromen.

Logging

Het ICS-CERT voerde een onderzoek uit, maar kon uiteindelijk niet vaststellen of de verdachte werknemer ongeautoriseerde toegang had verkregen op de dag dat de overstroming plaatsvond en dat zijn toegang hiervoor verantwoordelijk was. Het onderzoek liep stuk doordat de systemen bij het waterzuiveringsbedrijf inlogpogingen niet registreerden. Daarnaast werd er meestal één gebruikersnaam voor het hele netwerk gebruikt. Verder waren er geen netwerkmonitoringssystemen om de vermeende activiteit vast te stellen.

Daarnaast vond er geen logging plaats voor remote access tool zoals pcAnywhere, RealVNC en Windows Remote Desktop. Volgens het ICS-CERT maakt het incident duidelijk hoe belangrijk het is om systeemactiviteiten te loggen. Daarnaast zouden netwerkbeheerders verminderde rechten voor gebruikers moeten implementeren en ervoor zorgen dat gebruikers allemaal unieke inloggegevens hebben.