Şu anda Cumbria'daki sorunlu Sellafield nükleer tesisindeki operasyonları sona erdirmek için çalışan Nükleer Hizmetten Çıkarma Kurumu destekli kuruluş olan Sellafield Ltd, 2003 Nükleer Endüstri Güvenlik Düzenlemeleri himayesinde önemli siber güvenlik başarısızlıkları nedeniyle yargılanacak.
Nükleer Düzenleme Ofisi (ONR) tarafından öne sürülen suçlamalar, 2019 ile 2023 arasındaki dönemde bir dizi iddia edilen BT güvenlik suçunu kapsıyor.
Organ kısa bir açıklamada, “Yasal işlemleri başlatma kararı, Birleşik Krallık'ın bağımsız nükleer düzenleyicisi ONR tarafından yürütülen bir soruşturmanın ardından geldi” dedi. “Bu sorunların sonucunda kamu güvenliğinin tehlikeye girdiğine dair herhangi bir öneri yok.
“İlk duruşmanın ayrıntıları hazır olduğunda açıklanacak. Bazı konuların şu anda yasal işlemlere tabi olduğu göz önüne alındığında, daha fazla yorum yapamıyoruz.”
Duyuru, Sellafield'in bilgi güvenliği şefi Richard Meal'in (10 yılı aşkın süredir görevde olan eski bir RAF görevlisi) görevinden ayrılmasından yalnızca birkaç saat sonra geldi. Emniyet ve güvenlik direktörü Mark Neate'in Ocak ayındaki istifasının ardından 2024'te bunu yapan ikinci kıdemli lider oldu.
Computer Weekly, Sellafield'ın belirgin siber güvenlik sorunlarının bir süredir yüzeye çıktığını ve 2023'te sitenin operatörlerinin uzun bir soruşturmadan kaynaklanan iddiaları şiddetle reddettiğini biliyor. Muhafız soruşturma – BT sistemlerinin Çin ve Rusya kökenli devlet destekli tehdit aktörleri tarafından tamamen ele geçirildiği.
Gazete, bilgisayar korsanlarının, 1950'lerde İngiltere'nin şimdiye kadarki en kötü nükleer felaketine sahne olan tesiste devam eden nükleer temizliği gözetlemek ve veri toplamak için Sellafield'in sistemlerine tespit edilmesi zor uyuyan kötü amaçlı yazılımlar yerleştirdiğini iddia etti.
Muhafız Sellafield'i, sözde 2015 tarihli izinsiz girişleri tutarlı bir şekilde örtbas etmekle suçladı ve ihlalin boyutunun ancak diğer tesislerdeki çalışanların Sellafield'in sistemlerine uzaktan erişebileceklerini keşfettiklerinde ortaya çıktığını iddia etti.
Siteden biri, Sellafield'in ağını “temel olarak güvensiz” olarak nitelendirdi ve USB bellek çubuklarının üçüncü taraf yükleniciler tarafından kullanılması ve ziyarete gelen bir BBC kamera ekibinin yanlışlıkla kullanıcı kimlik bilgilerini kaydedip yayınlaması gibi çeşitli endişelere dikkat çekti. Bazı başarısızlıklar o kadar şiddetliydi ki onlara sözde “Voldemort” lakabı takıldı.
O dönemde Sellafield CEO'su Euan Hutton, BBC'ye tesisin “sağlam, çok katmanlı koruma sistemlerine” ve herhangi bir izinsiz girişi tespit edebilecek “7/24 çalışanlı bir siber güvenlik operasyon merkezine” sahip olduğunu söylemişti.
ONR, eyleminin temelini oluşturan herhangi bir spesifik siber güvenlik olayının ayrıntılarını sunmadı.
Sellafield'in finansmanında nihai sorumluluğu üstlenen Enerji Güvenliği ve Net Sıfır Dairesi'nin bir sözcüsü şunları söyledi: “Eski nükleer tesislerimizdeki emniyet ve güvenlik her şeyden önemlidir ve Nükleer Düzenleme Ofisi'ni düzenleyici olarak bağımsız rolünde tam olarak destekliyoruz.
“Düzenleyici, Sellafield'de kamu güvenliğinin tehlikeye atıldığına dair herhangi bir öneri olmadığını açıkça belirtti.
“Bu kovuşturma döneminden bu yana Sellafield'de bir liderlik değişikliği gördük ve ONR endişelerini giderme konusunda açık bir kararlılığa sahip olduğunu belirtti.”
Sellafield Ltd, ONR'nin dava açma bildirimini bizzat kabul etti, ancak konunun şu anda aktif mahkeme işlemlerine konu olması nedeniyle daha fazla yorumda bulunmadı.