Sellafield Ltd, la organización respaldada por la Autoridad de Desmantelamiento Nuclear que actualmente trabaja para cerrar las operaciones en la problemática instalación nuclear de Sellafield en Cumbria, será procesada por importantes fallas de seguridad cibernética bajo los auspicios de las Regulaciones de Seguridad de las Industrias Nucleares de 2003.
Los cargos, presentados por la Oficina de Regulación Nuclear (ONR), cubren una variedad de presuntos delitos de seguridad de TI durante el período comprendido entre 2019 y 2023.
“La decisión de iniciar procedimientos legales se produce tras una investigación realizada por la ONR, el regulador nuclear independiente del Reino Unido”, dijo el organismo en un breve comunicado. “No hay ninguna sugerencia de que la seguridad pública se haya visto comprometida como resultado de estos problemas.
“Los detalles de la primera audiencia judicial se anunciarán cuando estén disponibles. Dado que algunos asuntos están ahora sujetos a procedimientos legales, no podemos hacer más comentarios”.
El anuncio se produjo pocas horas después de que el director de seguridad de la información de Sellafield, Richard Meal, un ex oficial de la RAF que ha estado en el cargo durante más de 10 años, renunciara a su cargo. Es el segundo alto directivo en hacerlo en 2024, tras la dimisión en enero del director de seguridad, Mark Neate.
Computer Weekly comprende que los aparentes problemas de seguridad cibernética de Sellafield han estado saliendo a la superficie durante un tiempo, y en 2023 los operadores del sitio negaron enérgicamente las acusaciones, que surgieron de una larga guardián investigación: que sus sistemas de TI habían sido completamente comprometidos por actores de amenazas respaldados por el estado provenientes de China y Rusia.
El periódico afirmó que los piratas informáticos habían implementado malware durmiente difícil de detectar en los sistemas de Sellafield para recopilar datos y espiar la limpieza nuclear en curso en la instalación, que fue el escenario del peor desastre nuclear jamás ocurrido en el Reino Unido en la década de 1950.
El guardián acusó a Sellafield de un encubrimiento constante de las intrusiones, que supuestamente databan de 2015, y alegó que el alcance de la infracción solo salió a la luz cuando los trabajadores de otros sitios descubrieron que podían acceder de forma remota a los sistemas de Sellafield.
Una persona con información privilegiada en el sitio describió la red de Sellafield como “fundamentalmente insegura” y llamó la atención sobre varias preocupaciones, que incluían el uso de memorias USB por parte de contratistas externos y un incidente en el que un equipo de cámara de la BBC filmó y transmitió accidentalmente las credenciales de los usuarios. Algunas de sus fallas fueron tan graves que supuestamente fueron apodados “Voldemort”.
En ese momento, el director ejecutivo de Sellafield, Euan Hutton, le dijo a la BBC que la instalación tenía “sistemas de protección robustos de múltiples capas” y un “centro de operaciones de seguridad cibernética con personal las 24 horas, los 7 días de la semana” que habría detectado cualquier intrusión.
La ONR no ha proporcionado detalles de ningún incidente específico de ciberseguridad que sirva de base para su actuación.
Un portavoz del Departamento de Seguridad Energética y Net Zero, que tiene la responsabilidad final de financiar Sellafield, dijo: “La seguridad en nuestros antiguos sitios nucleares es primordial y apoyamos plenamente a la Oficina de Regulación Nuclear en su papel independiente como regulador.
“El regulador ha dejado claro que no hay ninguna sugerencia de que la seguridad pública se haya visto comprometida en Sellafield.
“Desde el período de este procesamiento, hemos visto un cambio de liderazgo en Sellafield y la ONR ha notado un compromiso claro para abordar sus preocupaciones”.
Un portavoz de Sellafield Ltd dijo: “El Servicio de Seguridad y Salvaguardias Nucleares Civiles (CNSS) de la ONR nos ha notificado su intención de procesar a la empresa en relación con el presunto cumplimiento de las normas de seguridad de la industria nuclear en el pasado.
“Dado que el asunto es ahora objeto de procedimientos judiciales activos, no podemos hacer más comentarios”.