İngiltere’nin Cumbria kentindeki nükleer atık depolama ve yönetim merkezi Sellafield nükleer tesisi, Birleşik Krallık’ın güvenliğini tehlikeye atan ciddi siber güvenlik ihlalleri ve eksiklikleri nedeniyle özür diledi.
Nükleer Düzenleme Ofisi (ONR) tarafından getirilen suçlamalar, hem özel hem de kamu kuruluşları tarafından daha fazla soruşturma başlatılmasına yol açan dört yıllık (2019-2023) BT güvenliği eksiklikleriyle ilgili.
Sellafield Nükleer Tesisinin Güvenlik Açıkları
Alt yüklenici Atos’a göre, Sellafield’ın bilgisayar sunucularının %75’inin siber saldırılara karşı savunmasız olduğu ve hassas bilgilerin dört yıl boyunca açıkta kaldığı tespit edildi. Tesisin BT sistemleri, Windows 7 ve Windows 2008 gibi eski işletim sistemlerini kullanarak güncelliğini yitirmiş oldukları ve bu nedenle bilgisayar korsanlığı girişimlerine karşı savunmasız oldukları için eleştirildi.
Durumun ciddiyeti, harici bir bilişim şirketi olan Commissum’un hazırladığı bir raporda, “makul düzeyde yetenekli bir bilgisayar korsanının veya kötü niyetli bir içeriden birinin” hassas verilere erişebileceği ve tesisin cihazlarına kötü amaçlı yazılım yerleştirebileceği tespit edilerek, düşmanca aktörler tarafından casusluk ve sabotaj yapılması olasılığı konusunda ciddi endişelere yol açtığı belirtildi.
Bu yılın başlarında, Birleşik Krallık’taki bir kamu harcamaları denetim ajansı olan Ulusal Denetim Ofisi, nükleer tesisin potansiyel maliyetleri ve riskleri hakkında bir soruşturma başlattı. Ajans web sitesinde şunları belirtti:
“Sellafield, Birleşik Krallık’ın en karmaşık ve zorlu nükleer sahasıdır. Birleşik Krallık’ın tüm nükleer atıklarının yaklaşık %85’ini barındırır ve bunların çoğu eskiyen tesislerde depolanır. Modern nükleer tesislerin aksine, Sellafield’daki binaların çoğu, nihayetinde nasıl devre dışı bırakılacakları konusunda sınırlı bir düşünceyle inşa edilmiştir. Sahayı temizlemek uzun vadeli bir çabadır ve muhtemelen gelecek yüzyıla kadar sürecektir. Maliyetinin 84 milyar sterlin (indirimli fiyatlarla) olması bekleniyor, ancak bu maliyet tahmini oldukça belirsizdir.”
Şirket daha önce sistemlerinde ve yapılarında önemli iyileştirmeler yaptığını iddia etmiş olsa da mahkemede, sitenin operasyon merkezinin test edilen saldırılara yeterli düzeyde alarm verip yanıt veremediği duyuldu.
Özür ve Cezalandırma
Sellafield’ın genel müdürü Euan Hutton, yazılı bir açıklamada başarısızlıklar için özür diledi ve sorunların geçmişte kaldığını belirtti. Şirket o zamandan beri durumu düzeltmek için ek adımlar attı, BT yönetimini değiştirdi ve yeni bir güvenli veri merkezi oluşturdu. Ancak mahkeme, vergi mükellefine olan maliyetleri sektördeki diğerlerini benzer suçlar işlemekten caydırma ihtiyacına karşı tartmalıdır.
Yargıç Paul Goldspring, daha önce hiçbir nükleer tesis siber güvenlik ihlalleri nedeniyle kovuşturulmadığından, bunun tüm taraflar için “yeni bir alan” olduğunu kabul etti. Ulusal Denetim Ofisi, Sellafield’daki maliyetler ve riskler hakkında bir soruşturma başlattı ve tesis 53.000 £ tutarında yasal masraf ödemeyi kabul etti. Cezanın Eylül ayında verilmesi bekleniyor.
Bir nükleer tesise yönelik başarılı bir siber saldırının sonuçlarının felaket olabileceği ve kritik nükleer altyapının güvenliğine ilişkin kamu güvencesini daha da zayıflatabileceği için durum endişe yarattı. Sellafield’ın beklenen cezası muhtemelen nükleer endüstri için yeni bir emsal oluşturacak.