Πρόστιμο 440.000 δολαρίων για τις ελλείψεις στον κυβερνοχώρο του Sellafield στο Ηνωμένο Βασίλειο

Η εγκατάσταση επεξεργασίας πυρηνικών αποβλήτων Sellafield επιβλήθηκε πρόστιμο £332.500 (440.000 $) από το Γραφείο Πυρηνικών Κανονισμών (ONR) για παράλειψη τήρησης των προτύπων ασφάλειας στον κυβερνοχώρο και θέτοντας ευαίσθητες πυρηνικές πληροφορίες σε κίνδυνο για τέσσερα χρόνια, από το 2019 έως το 2023.

Σύμφωνα με την ανακοίνωση του ONR, η Sellafield απέτυχε να ακολουθήσει τα δικά της εγκεκριμένα πρωτόκολλα κυβερνοασφάλειας αφήνοντας πολλές ευπάθειες στα συστήματα πληροφορικής της χωρίς επιδιόρθωση, παραβιάζοντας την Κανονισμοί ασφάλειας πυρηνικών βιομηχανιών 2003.

Αν και δεν υπήρξε εκμετάλλευση, οι αδυναμίες εξέθεσαν την εγκατάσταση σε κινδύνους όπως ransomware, phishing και πιθανή απώλεια δεδομένων, που θα μπορούσαν να διαταράξουν τις λειτουργίες υψηλού κινδύνου και να καθυστερήσουν τις εργασίες παροπλισμού.

Μια καταστροφή που περιμένει να συμβεί

Το Sellafield είναι μια από τις μεγαλύτερες πυρηνικές εγκαταστάσεις της Ευρώπης, που βρίσκεται στην Cumbria του Ηνωμένου Βασιλείου. Διαδραματίζει σημαντικό ρόλο στη διαχείριση και επεξεργασία ραδιενεργών υλικών, διαχειριζόμενος περισσότερα πυρηνικά απόβλητα σε μια τοποθεσία από οποιαδήποτε άλλη εγκατάσταση παγκοσμίως.

Ο ιστότοπος εμπλέκεται στην ανάκτηση πυρηνικών αποβλήτων, καυσίμων και λάσπης από παλιές λίμνες και σιλό, αποθήκευση ραδιενεργών υλικών όπως πλουτώνιο και ουράνιο, διαχείριση ράβδων αναλωμένου πυρηνικού καυσίμου και αποκατάσταση και παροπλισμό πυρηνικών εγκαταστάσεων.

Το Sellafield είναι μια κρίσιμη μονάδα για το σύστημα διαχείρισης πυρηνικών αποβλήτων του Ηνωμένου Βασιλείου, επομένως η ασφάλεια των συστημάτων πληροφορικής είναι ζωτικής σημασίας για τη διασφάλιση ασφαλών λειτουργιών.

Πέρυσι, α σειρά ερευνών από τον Guardian στην κυβερνοασφάλεια του Sellafield έφερε την προσοχή σε πολλά σοβαρά ζητήματα, αποκαλύπτοντας ότι οι εργολάβοι είχαν εύκολη πρόσβαση σε κρίσιμα συστήματα όπου, μεταξύ άλλων, μπορούσαν να εγκαταστήσουν μονάδες USB.

Επιπλέον, τα γνωστά τρωτά σημεία εντός της εγκατάστασης αφθονούν, δίνοντας στον ιστότοπο το ψευδώνυμο “Voldemort” από άτομα που εργάζονται εκεί.

Έλεγχος από τη γαλλική εταιρεία ασφαλείας Atos αποκάλυψε ότι περίπου το 75% των διακομιστών του Sellafield ήταν ευάλωτοι σε επιθέσεις με δυνητικά καταστροφικές συνέπειες.

Οι φορείς εκμετάλλευσης της πυρηνικής τοποθεσίας παραδέχθηκαν την ενοχή τους τον Ιούνιο του 2024 για την αποτυχία τους να συμμορφωθούν με τους τυπικούς κανονισμούς ασφάλειας πληροφορικής, παραδεχόμενοι την αποτυχία τους.

Το ONR επέβαλε πρόστιμα στο Sellafield, αλλά δεν επιβεβαίωσε καμία παράβαση

Η ONR ερεύνησε αυτές τις αναφορές και ενώ επιβεβαίωσε ότι το Sellafield απέτυχε να συμμορφωθεί με τα πρότυπα κυβερνοασφάλειας που στηρίζουν τη λειτουργία τέτοιων ιστότοπων στο Ηνωμένο Βασίλειο, λέει ότι δεν βρήκε στοιχεία ότι τα τρωτά σημεία χρησιμοποιήθηκαν σε επιθέσεις.

Αυτό έρχεται σε αντίθεση προηγούμενες εκθέσεις από τον Τύπο ότι Ρώσοι και Κινέζοι χάκερ φέρεται να εμφύτευσαν κακόβουλο λογισμικό στον ιστότοπο και ότι παραβιάσεις ασφαλείας σημειώθηκαν ήδη από το 2015.

«Έρευνα από το ONR […] διαπίστωσε ότι η Sellafield Ltd απέτυχε να ανταποκριθεί στα πρότυπα, τις διαδικασίες και τις ρυθμίσεις, που ορίζονται στο δικό της εγκεκριμένο σχέδιο για την ασφάλεια στον κυβερνοχώρο και για την προστασία ευαίσθητων πυρηνικών πληροφοριών». αναφέρει η ανακοίνωση του ONR.

“Υπάρχουν σημαντικές ελλείψεις για μεγάλο χρονικό διάστημα. Διαπιστώθηκε ότι η Sellafield Ltd επέτρεψε να διατηρηθεί αυτή η μη ικανοποιητική απόδοση, πράγμα που σημαίνει ότι τα συστήματα τεχνολογίας πληροφοριών της ήταν ευάλωτα σε μη εξουσιοδοτημένη πρόσβαση και απώλεια δεδομένων.”

“Ωστόσο, δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τυχόν τρωτά σημεία στη Sellafield Ltd έχουν γίνει αντικείμενο εκμετάλλευσης ως αποτέλεσμα των εντοπισμένων αστοχιών.”

Οι επιθεωρήσεις που διενεργήθηκαν από το ONR στο Sellafield αποκάλυψαν ότι το σενάριο μιας επιτυχημένης επίθεσης ransomware θα μπορούσε να εκτροχιάσει τις κανονικές λειτουργίες στην πυρηνική τοποθεσία για έως και 18 μήνες.

Η Sellafield έχει αντικαταστήσει βασικά άτομα σε ανώτερα στελέχη και διοίκηση πληροφορικής τον περασμένο χρόνο για να εφαρμόσει σχέδια για την αποκατάσταση των κινδύνων στον κυβερνοχώρο το συντομότερο δυνατό. Έχει παρατηρηθεί καλή πρόοδος σε αυτό το μέτωπο, σύμφωνα με το ONR.