Af Eskil Sørensen, 07/10/24
Det kendte og berygtede anlæg til behandling af affald fra atomkraftværker Sellafield er blevet idømt en bøde på £332.500 (ca. 3 mio danske kroner) af Office for Nuclear Regulation (ONR) for manglende overholdelse af cybersikkerhedsstandarder og for ikke at sikre følsomme nukleare oplysninger i en periode på over fire år.
Det skriver Bleeping Computer.
Ifølge en meddelelse fra ONR undlod Sellafield i en periode fra 2019-23 at følge sine egne godkendte cybersikkerhedsprotokoller ved ikke at patche flere sårbarheder i sine it-systemer. Med dette overtrådte Sellafield særlige regler for atomindustrien, Nuclear Industries Security Regulations, der blev indført i 2003.
Ingen udnyttelse
Den manglende patch af systemer er et eksempel på, at man godt kan få en bøde, selv om der ikke er sket et cybersikkerhedsangreb med udnyttelse af sårbarhederne. Og på et højere plan, kan man se manglende overholdelse af lovgivning som en risiko, lige så vel som man skal se cyberangreb som en risiko.
Når man får sådan en bøde, så er der ingen tvivl om, at det går ud over ens omdømme, ligeså vel som det skader ens økonomi at blive idømt en bøde. Ligesom når man er udsat for fx et ransomwareangreb. Ikke lige det, som et i forvejen berygtet industrianlæg med tilnavnet Voldemort, har brug for. Omend man kan tilføje, at en bøde på 3 mio kr for et så stort og kritisk anlæg er vel billigt sluppet. Nok billigere end hvad man kan forestille sig, at en ransomwareaktør kunne finde på at afkræve. Brud på fortrolighed, tilgængelighed og integritet i et atomaffaldshåndteringsanlæg som Sellafield er vel nok den værste cybersikkerhedshændelse, man kan forestille sig.
Men der skete altså ikke udnyttelse af sårbarhederne, men sårbarhedernes tilstedeværelse gjorde, at anlægget var udsat for risici som ransomware, phishing og muligt datatab, som kunne forstyrre anlæggets operationer og forsinke dets arbejde med at nedlukke nukleare anlæg, som er en central del af Sellafields forretningsgrundlag.
Tilnavn Voldemort
Sellafield er et af Europas største nukleare anlæg, beliggende på kysten ud til Det Irske Hav i Storbritannien. Det håndterer og opbevarer nukleart affald, brændstof og slam fra ældre damme og siloer, radioaktive materialer som plutonium og uran og bearbejder brugte nukleare brændselsstave mv.
Sellafield er således en kritisk enhed ift. håndtering af nukleart affald i Storbritannien.
Tidligere har The Guardian bragt artikler om Sellafields cybersikkerhed og peget på flere alvorlige problemer. Bl.a. skulle entreprenører have haft let adgang til kritiske systemer, hvor de kunne installere USB-drev. En revision fra et fransk sikkerhedsfirma har afsløret, at omkring 75 % af Sellafields servere var sårbare over for angreb med potentielt katastrofale konsekvenser.
Og der har også været tidligere rapporter fra pressen om, at russiske og kinesiske hackere angiveligt plantede malware på stedet, og at sikkerhedsbrud fandt sted så langt tilbage som i 2015.
Sellafield har udskiftet nøglepersoner i det seneste år for at implementere planer om at afhjælpe cybersikkerhedsrisiciene så hurtigt som muligt. Det får Sellafield anerkendelse for af ONR.
Links:
https://www.bleepingcomputer.com/news/security/uk-nuclear-site-sellafiel...