Sellafield nükleer atık tesisi, dört yıllık bir süre boyunca hassas bilgileri riske atan önemli siber güvenlik aksaklıklarını kabul ederek, endüstri düzenleyicisi tarafından getirilen cezai suçlamaları kabul etti.
Cumbria’daki Sellafield nükleer atık tesisini yönetmek için Nükleer Hizmetten Çıkarma Otoritesi (NDA) adına çalışan devlete ait Sellafield Ltd adına hareket eden avukatlar, Nükleer Düzenleme Ofisi (ONR) tarafından getirilen üç suçlamanın hepsini de kabul etti. Londra sulh ceza mahkemesine, örgütün “siber güvenlik sistemleri mevcut olmasına rağmen, bu sistemlere bir süre yeterince uyulmadığını” söyledi.
Suçlamalardan biri Sellafield’in “bilgi teknolojisi ağında hassas nükleer bilgilerin yeterli şekilde korunmasını sağlamaması” ile ilgiliydi; diğer ikisi ise BT sistemlerinin “yıllık sağlık kontrollerini” gerçekleştirmedeki başarısızlıkla ilgiliydi.
Bu hassas veriler, nükleer envanterin hareketini, atık yönetimini, planlama bilgilerini ve yükleniciler tarafından Sellafield’e sağlanan hizmetleri içerebilir.
Ancak Sellafield’ın avukatları şunları da söyledi: “Şu anda başarılı bir siber saldırının olmadığını ve hiçbir zaman da olmayacağını vurgulamak önemli. [the facility]Suçların “tarihi olduğunu” belirtmeden önce… [and] mevcut konumu yansıtmıyor”.
ONR ayrıca suç duyurusuyla ilgili kendi açıklamasında “bu suçlamaların tarihi suçlarla ilgili olduğunu ve herhangi bir güvenlik açığının istismar edildiğine dair hiçbir kanıt bulunmadığını” açıkça ifade etti.
Cezanın verilmesi artık 8 Ağustos’ta gerçekleşecek ve 2003 yılında uygulamaya konan Nükleer Endüstriler Güvenlik Düzenlemelerinden bu yana ONS tarafından açılan ilk soruşturma olacak.
Sellafield’in bir sözcüsü şunları söyledi: “Tüm suçlamaları kabul ettik ve bu süreç boyunca ONR ile tam işbirliği yaptık. Suçlamalar tarihi suçlarla ilgili ve kamu güvenliğinin tehlikeye atıldığına dair herhangi bir iddia yok.
“Konu aktif mahkeme işlemlerinin konusu olmaya devam ettiğinden, daha fazla yorum yapamıyoruz.”
Gardiyan Aralık 2023’te, nükleer tesisin sistemlerinin 2015’ten beri Rusya ve Çin ile bağlantılı gruplar tarafından saldırıya uğradığını ve bunların ağa uyuyan kötü amaçlı yazılım yerleştirdiği iddia edildiğini bildirdi.
Ayrıca Sellafield’i, sözde 2015 yılına ait olan izinsiz girişleri tutarlı bir şekilde örtbas etmekle suçladı ve ihlalin boyutunun ancak diğer tesislerdeki işçiler Sellafield’in sistemlerine uzaktan erişebileceklerini keşfettiklerinde ortaya çıktığını iddia etti.
Sitedeki bir kişi, Sellafield’in ağını “temel olarak güvensiz” olarak nitelendirdi ve USB bellek çubuklarının üçüncü taraf yükleniciler tarafından kullanılması ve ziyarete gelen bir BBC kamera ekibinin yanlışlıkla kullanıcı kimlik bilgilerini kaydedip yayınlaması olayı da dahil olmak üzere çeşitli endişelere dikkat çekti. Bazı başarısızlıklar o kadar şiddetliydi ki onlara sözde “Voldemort” lakabı takıldı.
Sellafield, o sırada başarılı bir siber saldırı olduğuna dair kanıt bulunmadığını söyledi ve iddiaları şiddetle reddetti.
Aşil bütünü
Yerel meclisten bir kaynak da daha önce Computer Weekly’ye, Sellafield ile ilgili çeşitli verileri tutan ve yöneten iki yerel otorite olan Copeland ve Cumberland konseylerinin, üst düzey yöneticilerin Ekim 2023’te nükleer tesis için “Aşil topuğu” olduğunu söylemişti. 2017’deki ayrı bir siber saldırıda “neyin kaybolduğunu hâlâ bilmiyorum”.
Sellafield ve NDA’nın bir sözcüsü Computer Weekly’ye, her iki kurumun da, bildiği kadarıyla, Hassas Nükleer Bilgi olarak sınıflandırılan herhangi bir bilgiyi Copeland Belediye Meclisi ile paylaşmadığını söyledi.
Sözcü şunları söyledi: “Birleşik Krallık sivil nükleer sektörünün bir parçası olarak, güçlü yasal ve ulusal güvenlik gerekliliklerini karşılamamızı gerektiren güçlü bir nükleer emniyet ve güvenlik düzenleme planına tabiyiz.
“NDA veya Sellafield ile ilgili herhangi bir verinin 2017 Copeland İlçe Konseyi siber olayında ele geçirildiğine inanmamız için hiçbir nedenimiz yok.”