Składowisku odpadów nuklearnych w Sellafield grozi kara za awarie cyberbezpieczeństwa

Brytyjski Urząd ds. Regulacji Jądrowych (ONR) wszczął postępowanie prawne przeciwko kontrowersyjnemu składowisku odpadów nuklearnych w Sellafield w związku z wieloletnimi rzekomymi naruszeniami cyberbezpieczeństwa. Jak już wcześniej informował zespół Bitdefender, w grudniu ubiegłego roku pojawiły się doniesienia o rosyjskich i chińskich hakerach, którzy już w 2015 roku umieszczali złośliwe oprogramowanie w systemach reaktora jądrowego.

Cyberatak na skład odpadów nuklearnych w Sellafield

Istnieje obawa, że złośliwe oprogramowanie mogło zostać umieszczone w systemach informatycznych Sellafield w celach szpiegowskich (w celu uzyskania dostępu do poufnych informacji na temat personelu lub przemieszczania odpadów radioaktywnych) oraz w celu przeprowadzenia ataków zakłócających.

Niektórzy znawcy uważają, że serwery komputerowe Sellafielda budzą niepokój, dzięki czemu zyskały przydomek „Voldermort” na cześć złoczyńcy z Harry’ego Pottera.

Według doniesień zewnętrzni wykonawcy otrzymali pozwolenie na podłączanie potencjalnie zainfekowanych urządzeń USB do sieci placówki w Sellafield. Raport z 2012 roku ostrzegał przed „krytycznymi lukami w zabezpieczeniach”, które w dalszym ciągu wymagają pilnego usunięcia.

The Guardian, który początkowo zwrócił uwagę na zarzuty, stwierdził, że nadal nie wiadomo, czy infekcja złośliwym oprogramowaniem została już skutecznie usunięta i że witrynę Sellafield objęto „specjalnymi środkami” ze względu na powtarzające się naruszenia cyberbezpieczeństwa i niezgłaszanie incydentów.

W momencie pierwszych doniesień w The Guardian rząd Wielkiej Brytanii próbował złagodzić powagę sytuacji za pomocą poniższego komunikatu:

„Nie mamy żadnych danych ani dowodów sugerujących, że sieci Sellafield Ltd zostały skutecznie zaatakowane przez podmioty państwowe w sposób opisany przez Guardiana”.

Zmiana postawy władz po ataku

Jednakże, jak donosi obecnie The Guardian, ONR w wyniku dochodzenia wniesie oskarżenie wobec Sellafielda za rzekome naruszenia bezpieczeństwa.

„Zarzuty te dotyczą rzekomych naruszeń bezpieczeństwa technologii informatycznych w okresie czterech lat od 2019 r. do początku 2023 r. Nic nie wskazuje na to, że w wyniku tych problemów bezpieczeństwo publiczne zostało zagrożone” – stwierdził ONR. „Decyzja o wszczęciu postępowania sądowego jest następstwem dochodzenia prowadzonego przez ONR, niezależny brytyjski organ regulacyjny ds. energetyki jądrowej”.

Według ONR szczegóły pierwszej rozprawy sądowej zostaną ogłoszone, gdy tylko będą dostępne.

Sellafield mianował nowego dyrektora ds. informacji cyfrowych odpowiedzialnego za cyberbezpieczeństwo miesiąc po pierwszych doniesieniach „The Guardian ”.

„Bezpieczeństwo i ochrona w naszych byłych obiektach jądrowych jest sprawą najwyższej wagi i w pełni wspieramy Urząd ds. Regulacji Jądrowych w jego niezależnej roli organu regulacyjnego” – stwierdził Departament Bezpieczeństwa Energetycznego i Net Zero brytyjskiego rządu, który finansuje Sellafield. „Organ regulacyjny dał jasno do zrozumienia, że nie ma żadnych sugestii, jakoby bezpieczeństwo publiczne zostało zagrożone w Sellafield. Od okresu, w którym toczy się postępowanie karne, zaobserwowaliśmy zmianę kierownictwa w Sellafield, a ONR odnotowało wyraźne zaangażowanie w rozwianie jego obaw”.

W 1957 r. w reaktorze Sellafield (znanym wówczas jako Windscale) wybuchł pożar, powodując skażenie radioaktywne w całej Europie. Była to najgorsza awaria nuklearna w historii Wielkiej Brytanii.

„Chociaż nie przedstawiono żadnych dowodów wskazujących na bezpośrednie zagrożenie bezpieczeństwa publicznego, potencjał szpiegostwa lub ukierunkowanego zakłócającego ataku niewątpliwie budzi obawy w przypadku krytycznej infrastruktury, jakim jest składowisko radioaktywne. Sytuacja ta jest doskonałym przykładem tego, że w obecnym krajobrazie cyberbezpieczeństwa skuteczna ochrona antywirusowa jest kluczowym elementem każdego przedsiębiorstwa” – mówi Krzysztof Budziński z firmy Marken Systemy Antywirusowe, polskiego dystrybutora oprogramowania Bitdefender.