El sitio de desechos nucleares de Sellafield se declaró culpable de los cargos penales presentados por el regulador de la industria, admitiendo importantes fallas de seguridad cibernética durante un período de cuatro años que pusieron en riesgo información confidencial.
Los abogados de la empresa estatal Sellafield Ltd, que trabaja en nombre de la Autoridad de Desmantelamiento Nuclear (NDA) para gestionar la instalación de residuos nucleares de Sellafield en Cumbria, se declararon culpables de los tres cargos presentados por la Oficina de Regulación Nuclear (ONR). diciendo a un tribunal de magistrados de Londres que si bien la organización “tenía sistemas de seguridad cibernética, esos sistemas no fueron respetados lo suficiente durante un período”.
Uno de los cargos penales giraba en torno a la falta de Sellafield de “garantizar que hubiera una protección adecuada de la información nuclear sensible en su red de tecnología de la información”, mientras que los otros dos se relacionaban con no realizar “controles anuales de salud” de sus sistemas de TI.
Estos datos confidenciales pueden incluir el movimiento del inventario nuclear, la gestión de residuos, la información de planificación y los servicios proporcionados a Sellafield por los contratistas.
Sin embargo, los abogados de Sellafield también dijeron que “es importante enfatizar que no hubo ni ha habido nunca un ciberataque exitoso contra [the facility]”, antes de señalar que los delitos son “históricos… [and] no reflejan la situación actual”.
La ONR también fue clara en su propia declaración sobre las declaraciones de culpabilidad en el sentido de que “estos cargos se relacionan con delitos históricos y no hay evidencia de que se explotaran vulnerabilidades”.
La sentencia se dictará ahora el 8 de agosto y marcará el primer procesamiento iniciado por la ONS desde las Regulaciones de Seguridad de las Industrias Nucleares que se introdujeron en 2003.
Un portavoz de Sellafield dijo: “Nos hemos declarado culpables de todos los cargos y cooperamos plenamente con la ONR durante todo este proceso. Los cargos se relacionan con delitos históricos y no hay indicios de que la seguridad pública haya estado comprometida.
“Dado que el asunto sigue siendo objeto de procedimientos judiciales activos, no podemos hacer más comentarios”.
El guardián informó en diciembre de 2023 que los sistemas del sitio nuclear habían sido pirateados por grupos vinculados a Rusia y China ya en 2015, que supuestamente incrustaron malware durmiente en la red.
También acusó a Sellafield de un encubrimiento constante de las intrusiones, que supuestamente databan de 2015, y alegó que el alcance de la infracción solo salió a la luz cuando los trabajadores de otros sitios descubrieron que podían acceder de forma remota a los sistemas de Sellafield.
Una persona con información privilegiada en el sitio describió la red de Sellafield como “fundamentalmente insegura” y llamó la atención sobre varias preocupaciones, incluido el uso de memorias USB por parte de contratistas externos y un incidente en el que un equipo de cámara de la BBC filmó y transmitió accidentalmente las credenciales de los usuarios. Algunas de sus fallas fueron tan graves que supuestamente fueron apodados “Voldemort”.
Sellafield dijo en ese momento que no tenía evidencia de un ciberataque exitoso y negó enérgicamente las acusaciones.
talón de Aquiles
Una fuente del consejo local también dijo anteriormente a Computer Weekly que los consejos de Copeland y Cumberland (dos autoridades locales que poseen y gestionan una variedad de datos relacionados con Sellafield) son un “talón de Aquiles” para la instalación nuclear, después de que los altos directivos reconocieran en octubre de 2023 que “Aún no sé qué se perdió” en otro ciberataque de 2017.
Un portavoz de Sellafield y la NDA dijo a Computer Weekly que ninguno de los dos organismos, hasta donde él sabe, ha compartido ninguna información clasificada como información nuclear sensible con el Ayuntamiento de Copeland.
El portavoz dijo: “Como parte del sector nuclear civil del Reino Unido, estamos sujetos a un sólido esquema regulatorio de seguridad nuclear, que nos exige cumplir con sólidos requisitos legales y de seguridad nacional.
“No tenemos ninguna razón para creer que ningún dato relacionado con la NDA o Sellafield se haya visto comprometido en el incidente cibernético del Ayuntamiento de Copeland de 2017”.