Nükleer atık işleme tesisi Sellafield, Siber güvenlik standartlarına uymadığı ve hassas nükleer bilgileri 2019’dan 2023’e kadar dört yıl boyunca riske attığı için Nükleer Düzenleme Ofisi (ONR) tarafından 332.500 £ (440 bin $) para cezasına çarptırıldı.
ONR duyurusuna göre Sellafield, BT sistemlerindeki birden fazla güvenlik açığını yamasız bırakarak kendi onaylı siber güvenlik protokollerini takip edemedi ve Nükleer Endüstri Güvenlik Düzenlemeleri 2003’ü ihlal etti.
Her ne kadar herhangi bir istismar meydana gelmemiş olsa da, zayıf noktalar tesisi fidye yazılımı, kimlik avı ve olası veri kaybı gibi risklere maruz bıraktı; bu durum yüksek riskli operasyonları kesintiye uğratabilir ve hizmetten çıkarma çalışmalarını geciktirebilir.
Gerçekleşmeyi bekleyen bir felaket
Sellafield, İngiltere’nin Cumbria şehrinde bulunan Avrupa’nın en büyük nükleer tesislerinden biridir. Radyoaktif maddelerin yönetilmesinde ve işlenmesinde önemli bir rol oynar ve dünya çapındaki diğer tüm tesislerden daha fazla nükleer atığın tek bir yerde işlenmesini sağlar.
Tesis, eski havuzlardan ve silolardan nükleer atık, yakıt ve çamurun alınması, plütonyum ve uranyum gibi radyoaktif malzemelerin depolanması, kullanılmış nükleer yakıt çubuklarının yönetimi ve nükleer tesislerin iyileştirilmesi ve hizmet dışı bırakılmasıyla ilgileniyor.
Sellafield, Birleşik Krallık’ın nükleer atık yönetim sistemi için kritik bir birim olduğundan BT sistemlerinin güvenliği, güvenli operasyonların sağlanması açısından hayati öneme sahiptir.
Geçen yıl The Guardian’ın Sellafield’in siber güvenliğine ilişkin yaptığı bir dizi araştırma, çok sayıda ciddi soruna dikkat çekti ve yüklenicilerin diğer şeylerin yanı sıra USB sürücüleri kurabilecekleri kritik sistemlere kolay erişime sahip olduğunu ortaya çıkardı.
Ayrıca tesisteki çok sayıda bilinen güvenlik açığı, siteye orada çalışan kişiler tarafından “Voldemort” takma adının verilmesine neden oluyor.
Fransız güvenlik firması Atos tarafından yapılan bir denetim, Sellafield sunucularının yaklaşık %75’inin, felaketle sonuçlanabilecek saldırılara karşı savunmasız olduğunu ortaya çıkardı.
Nükleer tesisin operatörleri, Haziran 2024’te standart BT güvenlik düzenlemelerine uymamalarından dolayı suçlarını kabul ederek başarısızlıklarını kabul ettiler.
ONR Sellafield’e para cezası verdi ancak ihlal olmadığını doğruladı
ONR bu raporları araştırdı ve Sellafield’ın Birleşik Krallık’ta bu tür sitelerin işleyişini destekleyen siber güvenlik standartlarına uymadığını doğruladı, ancak saldırılarda güvenlik açıklarından yararlanıldığına dair hiçbir kanıt bulamadığını söyledi.
Bu, Rus ve Çinli bilgisayar korsanlarının siteye kötü amaçlı yazılım yerleştirdiği ve güvenlik ihlallerinin 2015’te gerçekleştiği yönündeki iddialara ilişkin basında yer alan önceki raporlarla çelişiyor.
“ONR tarafından yapılan bir soruşturma […] Sellafield Ltd’nin siber güvenlik ve hassas nükleer bilgilerin korunmasına yönelik kendi onaylı planında belirtilen standartları, prosedürleri ve düzenlemeleri karşılayamadığını tespit etti.” ONR’nin duyurusu şöyle:
“Önemli eksiklikler uzun bir süredir mevcuttu. Sellafield Ltd’nin bu yetersiz performansın devam etmesine izin verdiği, bunun da bilgi teknolojisi sistemlerinin yetkisiz erişime ve veri kaybına karşı savunmasız olduğu anlamına geldiği tespit edildi.”
“Ancak, Sellafield Ltd’deki herhangi bir güvenlik açığının tespit edilen arızalar sonucunda istismar edildiğine dair bir kanıt yok.”
ONR’nin Sellafield’de gerçekleştirdiği incelemeler, başarılı bir fidye yazılımı saldırısı senaryosunun, nükleer tesisteki normal operasyonları 18 aya kadar raydan çıkarabileceğini ortaya çıkardı.
Sellafield, siber güvenlik risklerini mümkün olan en kısa sürede iyileştirmeye yönelik planları uygulamak için geçtiğimiz yıl üst düzey liderlik ve BT yönetimindeki kilit kişilerin yerini aldı. ONR’ye göre bu cephede iyi ilerleme kaydedildi.