Britanska nuklearna industrija suočila se sa značajnim izazovom kada je sajber bezbednost najvećeg nuklearnog postrojenja u zemlji dovedena u pitanje. Sellafield, ključno postrojenje za upravljanje nuklearnim otpadom, kažnjeno je zbog ozbiljnih propusta u zaštiti svojih informacionih sistema.
Propusti u sajber bezbednosti Sellafielda
Kancelarija za nuklearnu regulaciju (ONR) izrekla je kaznu od približno 332.500 funti (oko 440.000 dolara) kompaniji koja upravlja Sellafieldom zbog nepoštovanja standarda sajber bezbednosti u periodu od 2019. do 2023. godine. Ova odluka usledila je nakon što je kompanija priznala krivicu po tri tačke optužnice vezane za propuste u oblasti informacione tehnologije.
Istraga je otkrila da Sellafield nije uspeo da se pridržava sopstvenih odobrenih protokola sajber bezbednosti, ostavljajući brojne ranjivosti u svojim IT sistemima neotklonjenim. Ovo je predstavljalo kršenje Propisa o bezbednosti nuklearne industrije iz 2003. godine, što je izložilo postrojenje rizicima poput ransomvera, fišinga i potencijalnog gubitka podataka.
Značaj Sellafielda u nuklearnoj industriji
Sellafield, smešten u Kambriji, predstavlja jedno od najvećih nuklearnih postrojenja u Evropi. Njegova uloga u upravljanju i obradi radioaktivnih materijala je od ključnog značaja, s obzirom da na jednom mestu rukuje većom količinom nuklearnog otpada nego bilo koje drugo postrojenje na svetu. Aktivnosti Sellafielda uključuju:
- Izvlačenje nuklearnog otpada, goriva i mulja iz nasleđenih bazena i silosa
- Skladištenje radioaktivnih materijala poput plutonijuma i uranijuma
- Upravljanje istrošenim šipkama nuklearnog goriva
- Sanaciju i dekomisiju nuklearnih objekata
Zbog svoje kritične uloge u britanskom sistemu upravljanja nuklearnim otpadom, bezbednost IT sistema Sellafielda je od vitalnog značaja za osiguranje bezbednih operacija.
Otkrivanje ozbiljnih bezbednosnih propusta
Prošle godine, serija istraga koje je sproveo The Guardian o sajber bezbednosti Sellafielda skrenula je pažnju na višestruke ozbiljne probleme. Otkriveno je da su ugovarači imali lak pristup kritičnim sistemima, gde su, između ostalog, mogli da instaliraju USB uređaje. Dodatno, u postrojenju su postojale dobro poznate ranjivosti, što je dovelo do toga da zaposleni daju objektu nadimak "Voldemor".
Revizija koju je sprovela francuska bezbednosna firma Atos otkrila je da je približno 75% servera Sellafielda bilo ranjivo na napade sa potencijalno katastrofalnim posledicama. Ovi nalazi su dodatno naglasili ozbiljnost situacije i potrebu za hitnim poboljšanjima u oblasti sajber bezbednosti.
Reakcija regulatornih organa i posledice
ONR je sproveo istragu o ovim izveštajima i potvrdio da Sellafield nije poštovao standarde sajber bezbednosti koji su temelj funkcionisanja takvih objekata u Velikoj Britaniji. Međutim, važno je napomenuti da nije pronađen dokaz da su ranjivosti iskorišćene u napadima, što je u suprotnosti sa ranijim medijskim izveštajima o navodnom ubacivanju malvera od strane ruskih i kineskih hakera.
Inspekcije koje je sproveo ONR u Sellafieldu otkrile su da bi scenario uspešnog ransomver napada mogao da poremeti normalne operacije na nuklearnom lokalitetu u trajanju do 18 meseci. Ova procena naglašava potencijalne dugoročne posledice bezbednosnih propusta u tako kritičnom postrojenju.
Mere za poboljšanje sajber bezbednosti
Kao odgovor na otkrivene propuste, Sellafield je preduzeo niz koraka za poboljšanje svoje sajber bezbednosti:
- Zamena ključnih ljudi na višim rukovodećim pozicijama i u IT menadžmentu
- Implementacija planova za otklanjanje sajber bezbednosnih rizika u najkraćem mogućem roku
- Unapređenje sistema, mreže i struktura
Prema ONR-u, primećen je značajan napredak u ovim oblastima, što ukazuje na ozbiljnost sa kojom Sellafield pristupa rešavanju identifikovanih problema.
Šire implikacije za nuklearnu industriju
Slučaj Sellafielda podiže važna pitanja o sajber bezbednosti u nuklearnoj industriji šire. Ovo je prvi put da je ONR pokrenuo postupak prema Propisima o bezbednosti nuklearne industrije iz 2003. godine, što može postaviti presedan za buduće slučajeve i pojačati nadzor nad drugim nuklearnim postrojenjima.
Sudija Paul Goldspring je naglasio da su propusti Sellafielda u sajber bezbednosti bili "ozbiljni", iako je primetio da nema dokaza da su oni doveli do bilo kakve štete. On je takođe ukazao na "sektorske poteškoće u regrutovanju adekvatno kvalifikovanog osoblja" kao jedan od faktora koji su doprineli ovim propustima.
Zaključak: Lekcije za budućnost sajber bezbednosti u nuklearnom sektoru
Slučaj Sellafielda služi kao važno upozorenje o kritičnoj važnosti sajber bezbednosti u nuklearnoj industriji. Iako nije došlo do eksploatacije ranjivosti, otkriveni propusti naglašavaju potrebu za stalnom budnošću i unapređenjem bezbednosnih praksi. Kako nuklearna postrojenja nastavljaju da igraju ključnu ulogu u energetskoj infrastrukturi, osiguravanje njihove sajber bezbednosti ostaje imperativ od nacionalnog značaja.