The Sellafielda składowisko odpadów nuklearnych przyznało się do zarzutów karnych postawionych przez organ regulacyjny branżowy, przyznając się do znaczących uchybień w zakresie bezpieczeństwa cybernetycznego w okresie czterech lat, które naraziły na ryzyko wrażliwe informacje.
Prawnicy działający na rzecz państwowej spółki Sellafield Ltd – która działa w imieniu Urzędu ds. Likwidacji Obiektów Jądrowych (NDA) w celu zarządzania składowiskiem odpadów nuklearnych Sellafield w Cumbrii – przyznali się do wszystkich trzech zarzutów postawionych przez Urząd Regulacji Jądrowych (ONR), mówiąc londyńskiemu sądowi pokoju, że chociaż organizacja „posiadała systemy bezpieczeństwa cybernetycznego, systemy te nie były przestrzegane w wystarczającym stopniu przez pewien okres”.
Jeden z zarzutów karnych dotyczył niezapewnienia przez Sellafield „odpowiedniej ochrony wrażliwych informacji nuklearnych w jej sieci informatycznej”, natomiast dwa pozostałe dotyczyły niezapewnienia „corocznych kontroli stanu” jej systemów informatycznych.
Te wrażliwe dane mogą obejmować przenoszenie zapasów materiałów nuklearnych, gospodarkę odpadami, informacje dotyczące planowania i usługi świadczone na rzecz Sellafield przez wykonawców.
Jednak prawnicy Sellafielda stwierdzili również, że „należy podkreślić, że nie było i nigdy nie było udanego cyberataku na [the facility]”, zanim zauważymy, że przestępstwa mają charakter „historyczny… [and] nie odzwierciedlają aktualnego stanowiska”.
W swoim oświadczeniu dotyczącym przyznania się do winy ONR jasno stwierdził również, że „zarzuty te odnoszą się do przestępstw historycznych i nie ma dowodów na to, że wykorzystano jakiekolwiek słabe punkty”.
Wyrok zostanie wydany 8 sierpnia i będzie pierwszym oskarżeniem wniesionym przez ONS od czasu wprowadzenia przepisów dotyczących bezpieczeństwa przemysłu nuklearnego w 2003 r.
Rzecznik Sellafield powiedział: „Przyznaliśmy się do wszystkich zarzutów i w pełni współpracowaliśmy z ONR przez cały ten proces. Zarzuty dotyczą przestępstw historycznych i nic nie wskazuje na to, że doszło do naruszenia bezpieczeństwa publicznego.
„Ponieważ kwestia pozostaje przedmiotem toczącego się postępowania sądowego, nie możemy komentować dalej”.
Opiekun w grudniu 2023 r. poinformowało, że systemy obiektu jądrowego zostały uszkodzone zhakowane przez grupy powiązane z Rosją i Chinami już w 2015 r., który rzekomo umieścił w sieci uśpione złośliwe oprogramowanie.
Oskarżyła także Sellafielda o konsekwentne tuszowanie włamań, które rzekomo miały miejsce w 2015 r., i zarzuciła, że zakres naruszenia wyszedł na jaw dopiero, gdy pracownicy innych lokalizacji odkryli, że mogą uzyskać zdalny dostęp do systemów Sellafield.
Osoba znajdująca się na miejscu określiła sieć Sellafield jako „zasadniczo niebezpieczną” i zwróciła uwagę na różne obawy, w tym na używanie pamięci USB przez zewnętrznych wykonawców oraz incydent, w którym odwiedzająca ekipa filmowa BBC przypadkowo sfilmowała i wyemitowała dane uwierzytelniające użytkownika. Niektóre z wad były tak poważne, że rzekomo zaczęto ich nazywać „Voldemortem”.
Sellafield stwierdził wówczas, że nie ma dowodów na udany cyberatak i stanowczo zaprzeczył zarzutom.
pięta Achillesa
Również źródło samorządu lokalnego powiedział wcześniej Computer Weekly że rady Copeland i Cumberland – dwie władze lokalne, które przechowują szereg danych związanych z Sellafield i zarządzają nimi – stanowią „piętę achillesową” obiektu jądrowego po tym, jak w październiku 2023 r. kadra kierownicza wyższego szczebla przyznała, że „nadal nie wiedzą, co zginęło ” w oddzielny cyberatak z 2017 r.
Rzecznik Sellafield i NDA powiedział Computer Weekly, że według jej wiedzy żaden z tych organów nie przekazał Radzie gminy Copeland żadnych informacji sklasyfikowanych jako wrażliwe informacje nuklearne.
Rzecznik powiedział: „Jako część brytyjskiego cywilnego sektora jądrowego podlegamy rygorystycznym systemom regulacyjnym w zakresie bezpieczeństwa jądrowego, który wymaga od nas spełnienia rygorystycznych wymogów prawnych i bezpieczeństwa narodowego.
„Nie mamy powodu sądzić, że jakiekolwiek dane związane z NDA lub Sellafield zostały naruszone w wyniku incydentu cybernetycznego Rady Miejskiej Copeland w 2017 r.”.