Sellafield nükleer sahasının yönetici şirketi olan Sellafield Ltd, siber güvenlik suçları iddiası nedeniyle Birleşik Krallık'ın bağımsız nükleer güvenlik düzenleyicisi tarafından yargılanacak.
Güvenlik düzenleyicisine göre ihlaller 2019'dan 2023'e kadar dört yıllık bir dönemde gerçekleşti. Ancak düzenleyici, duyurusunda bu “bilgi teknolojisi güvenlik suçları” nedeniyle kamu güvenliğinin tehlikeye atıldığına dair hiçbir işaret bulunmadığını belirtti. Nükleer Düzenleme Ofisi (ONR) çok az yorum yaptı spesifik konuların ne olduğuna veya yasal işlemlere ilişkin, ancak “ilk duruşmanın ayrıntılarının mümkün olduğunda açıklanacağını” kaydetti.
Bu, şirketin incelemeye alındığı ilk sefer değil. Siber güvenlik sorunları, Nükleer Baş Müfettiş'in geçen Eylül ayında ülkenin nükleer endüstrisine ilişkin yıllık raporunda da ele alındı. Ve Aralık ayında Guardian, Rusya ve Çin tarafından desteklenen gelişmiş kalıcı tehditlerin (APT'ler) etkisiz hale getirildiğine dair bomba etkisi yaratan bir rapor yayınladı. Sellafield'in BT sistemlerini ihlal etmek 2015'ten bu yana, gazetenin iddia ettiği saldırılar, geniş bir radyoaktif atık deposu ve dünyanın en büyük plütonyum deposunu barındıran bölgedeki kıdemli personel tarafından sürekli olarak örtbas ediliyordu.
Şu anda herhangi bir üst düzey yöneticinin bu güvenlik kusurlarına karışıp karışmadığı ve eğer öyleyse, suçlamalarla karşılaşıp karşılaşmayacakları bilinmemekle birlikte, suçlu bulunması durumunda bir kişi en fazla iki yıl hapis cezasıyla karşı karşıya kalabilir.
Sellafield arazisinde bir nükleer reaktör bulunmaktadır. 2003 yılında kapatılmasına rağmen halen hizmet vermektedir. Avrupa'nın en büyük nükleer tesisi ve ONR burayı “dünyanın en karmaşık ve tehlikeli nükleer sahalarından biri” olarak görüyor. Şirketin siber güvenlik konusundaki başarısızlıklarının dikkate değer bir endişe yaratmasının nedeninin büyük bir kısmı muhtemelen budur.
Enerji santrallerine yönelik siber saldırılar her zaman yaygın olmasa da, 2017'deki saldırılar gibi nadir durumlarda da meydana geldi. Triton kötü amaçlı yazılımıTrisis ve HatMan olarak da bilinen bu saldırı, Rusya Merkezi Kimya ve Mekanik Bilimsel Araştırma Enstitüsü'nün (TsNIIkhM) elindeki Orta Doğu'daki bir petrokimya tesisini hedef almak için kullanıldı. Tehdit aktörü, güvenlik sistemine erişim sağlamak için BT ve operasyonel teknoloji (OT) ağlarından geçti ve acil durumlarda güvenli kapatma sürecinin başlatılmasına olanak tanıyan Schneider Electric Triconex güvenlik enstrümanlı sistemini hedef aldı. Kötü amaçlı yazılım tarafından değiştirilen sistem, tesisin zarar görmesine, operasyonel kapanmaya ve hatta ölümlere yol açabilirdi.
Bununla birlikte, nükleer reaktör artık çalışır durumda olmadığı için bir siber saldırının Sellafield'e ne tür bir zarar vereceği ve benzer bir felakete yol açıp açmayacağı bilinmiyor.