Η Sellafield Ltd, η οποία διαχειρίζεται την τοποθεσία πυρηνικών αποβλήτων Sellafield στην Cumbria, στη βορειοδυτική Αγγλία, επέτρεψε να παραμείνουν «σημαντικά τρωτά σημεία» στα συστήματα πληροφορικής της, όπως αποφάνθηκαν οι εισαγγελείς στο δικαστήριο του Westminster στο Λονδίνο. «Δεν έχουμε να κάνουμε με κάτι που θα μπορούσε να περιγραφεί ως “τεχνικές” παραβιάσεις των κανονισμών», δήλωσε ο Nigel Lawrence KC, ο οποίος άσκησε την προσφυγή εκ μέρους του Γραφείου του Ηνωμένου Βασιλείου για Ρυθμιστικά Ζητήματα Πυρηνικής Ενέργειας (ONR).
Στο Sellafield βρίσκονται τα μεγαλύτερα αποθέματα πλουτωνίου στον κόσμο, ένα υποπροϊόν της παραγωγής πυρηνικής ενέργειας, και περιγράφεται από το ONR ως «μία από τις πιο περίπλοκες και επικίνδυνες πυρηνικές τοποθεσίες στον κόσμο». Ο Lawrence είπε στο δικαστήριο ότι το ONR είχε επισημάνει εδώ και «αρκετά χρόνια» προβλήματα σχετικά με τη διαχείριση ζητημάτων κυβερνοασφάλειας του Sellafield. Ανεξάρτητες δοκιμές που πραγματοποιήθηκαν κατόπιν αιτήματος του ONR στα τέλη του 2022 εντόπισαν τρωτά σημεία που θα μπορούσαν να επιτρέψουν στους χάκερ να αποκτήσουν πρόσβαση στο δίκτυο του Sellafield.
Η εταιρεία επίσης απέτυχε να πραγματοποιήσει ετήσιους ελέγχους υγείας του συστήματος υπολογιστών που ορίζονται στο εγκεκριμένο από τις ρυθμιστικές αρχές σχέδιο ασφαλείας της, ενώ, παράλληλα, ορισμένα από τα συστήματά της είναι απαρχαιωμένα, πρόσθεσε ο Lawrence.
Επιπλέον, τον Απρίλιο του 2022, ένας υπεργολάβος κατάφερε να στείλει στον εαυτό του με email 4.000 έγγραφα, συμπεριλαμβανομένων 13 που είχαν χαρακτηριστεί ως «επίσημα ευαίσθητα», χωρίς να γίνει αντιληπτή η μεταφορά, είπε ο Lawrence στο δικαστήριο. «Οι αστοχίες ήταν παρούσες για αρκετό καιρό και, παρά τις σημαντικές παρεμβάσεις από την ONR και την καθοδήγηση από τον δικό της πάροχο IT, ο κατηγορούμενος επέτρεψε να διατηρηθεί μια κατάσταση στην οποία υπήρχαν σημαντικές ευπάθειες στα συστήματα ασφάλειας στον κυβερνοχώρο», σύμφωνα με τον Lawrence.
«Αυτά είχαν τη δυνατότητα να προκαλέσουν σοβαρές παραβιάσεις της ασφάλειας, συμπεριλαμβανομένου του να τεθούν σε κίνδυνο ευαίσθητες πυρηνικές πληροφορίες», πρόσθεσε. Οι λεπτομέρειες προέκυψαν σε μια ακρόαση σχετικά με τον προσδιορισμό της ποινής, αφού ο Sellafield αποδέχθηκε την ενοχή της τον Ιούνιο για τρία αδικήματα σύμφωνα με τους Κανονισμούς Ασφαλείας της Πυρηνικής Βιομηχανίας του 2003.
Η δίωξη, η πρώτη σύμφωνα με αυτούς τους κανόνες, ακολούθησε έρευνα του ONR σχετικά με τη διαχείριση της κυβερνοασφάλειας του Sellafield μεταξύ 2019 και 2023.
Η εταιρεία, η οποία ανήκει στην Αρχή Πυρηνικού Παροπλισμού (Nuclear Decommissioning Authority) του Ηνωμένου Βασιλείου, είναι υπεύθυνη για τον καθαρισμό και τη συντήρηση της τοποθεσίας, συνολικής έκτασης 6 τετραγωνικών χιλιομέτρων, που περιέχει απόβλητα από τους ενεργούς αλλά και τους κλειστούς πυρηνικούς σταθμούς του Ηνωμένου Βασιλείου.
Ο Paul Greaney KC, εκ μέρους της Sellafield, είπε ότι δεν υπάρχουν στοιχεία για επιτυχημένη κυβερνοεπίθεση κατά του Sellafield, προσθέτοντας ότι τα τρωτά σημεία που εντοπίστηκαν δεν δημιουργούν τον κίνδυνο ραδιενεργού απειλής. «Αν κάποιος έπαιρνε τον έλεγχο, θα μπορούσε να προκαλέσει μια καταστροφή; Η απάντηση σε αυτή την απλή ερώτηση είναι όχι», είπε στο δικαστήριο.
Σε ανακοίνωσή της μετά την ακρόαση, η Sellafield είπε ότι είχε «κάνει σημαντικές βελτιώσεις στα συστήματα, το δίκτυο και τις δομές μας ώστε να διασφαλίσει ότι είμαστε καλύτερα προστατευμένοι και πιο ανθεκτικοί». Σε σχέση με τα αρχεία ηλεκτρονικού ταχυδρομείου των υπεργολάβων, είπε ότι τα περισσότερα ήταν προσωπικά αρχεία του ατόμου και δεν υπήρξε απώλεια επίσημων ευαίσθητων πληροφοριών. Όπως πρόσθεσε: «Λαμβάνουμε εξαιρετικά σοβαρά την ασφάλεια στον κυβερνοχώρο στο Sellafield, όπως αντικατοπτρίζεται στις δηλώσεις μας με την οποία παραδεόμαστε την ενοχή μας. Οι κατηγορίες σχετίζονται με παλαιά αδικήματα και δεν υπάρχει καμία ένδειξη ότι διακυβεύτηκε η δημόσια ασφάλεια. Το Sellafield δεν έχει υποστεί επιτυχή κυβερνοεπίθεση ούτε έχει υποστεί οποιαδήποτε απώλεια ευαίσθητων πυρηνικών πληροφοριών».
Το ONR δεν ζήτησε από το δικαστήριο να επιβάλει συγκεκριμένη ποινή. Είπε ότι στη Sellafield θα πρέπει να επιβληθεί επαρκές πρόστιμο ώστε να αντικατοπτρίζει τη σημασία της συμμόρφωσης με τους κανονισμούς. Οι σχετική κανόνες επιτρέπουν απεριόριστο πρόστιμο.
Πέρυσι, στο Sellafield επιβλήθηκε πρόστιμο 400.000 λιρών για παραβίαση των όρων υγείας και ασφάλειας. Η εκτέλεση της ποινής αναβλήθηκε για να εκδοθεί γραπτώς από τον δικαστή σε μεταγενέστερη ημερομηνία.=