Sellafield se disculpa tras declararse culpable por una serie de fallos en materia de ciberseguridad | Residuos nucleares

Sellafield se disculpó tras declararse culpable de cargos criminales relacionados con una serie de fallos de ciberseguridad en la instalación nuclear más peligrosa de Gran Bretaña, que admitió que podrían haber amenazado la seguridad nacional.

Entre los fallos del enorme vertedero de residuos nucleares de Cumbria se encuentra el descubrimiento de que el 75% de sus servidores informáticos eran vulnerables a ciberataques, según se informó en el tribunal de magistrados de Westminster en Londres.

La información que podría amenazar la seguridad nacional quedó expuesta durante cuatro años, reveló el organismo de control nuclear, y Sellafield dijo que había estado realizando controles críticos de salud de TI que, de hecho, no se estaban llevando a cabo.

A fines del año pasado, la investigación Nuclear Leaks del Guardian reveló una serie de fallas de TI en la empresa estatal que se remontan a varios años atrás, así como contaminación radiactiva y una cultura tóxica en el lugar de trabajo.

Sellafield es un vertedero de basura de gran tamaño que contiene desechos nucleares provenientes de programas armamentísticos y de décadas de generación de energía atómica. Tiene una plantilla de unas 11.000 personas y forma parte de la Autoridad de Desmantelamiento Nuclear, una organización no gubernamental propiedad de los contribuyentes y financiada por ellos.

La investigación de The Guardian también reveló inquietudes acerca de que contratistas externos pudieran conectar memorias USB al sistema de Sellafield sin supervisión y que sus servidores informáticos eran considerados tan inseguros que el problema fue apodado Voldemort en honor al villano de Harry Potter porque era muy sensible y peligroso.

Sellafield se declaró culpable de los cargos presentados por la Oficina de Regulación Nuclear (ONR) en junio, que se relacionan con delitos de seguridad de la tecnología de la información que abarcan un período de cuatro años de 2019 a 2023.

Sellafield está ahora a la espera de la sentencia definitiva, que según el magistrado principal, Paul Goldspring, se conocerá en unas semanas. La ONR ha dicho que espera que Sellafield sea sentenciado en septiembre.

En una audiencia de sentencia el jueves, el tribunal escuchó que una prueba había descubierto que era posible descargar y ejecutar archivos maliciosos en las redes de TI de Sellafield a través de un ataque de phishing “sin generar ninguna alarma”, según Nigel Lawrence KC, en representación de la ONR.

El sitio, el mayor almacén de plutonio del mundo, quedó vulnerable a ciberataques internos y externos, y el 75% de sus servidores quedaron inseguros, dijo Lawrence, citando un informe de Atos, un subcontratista del sitio.

El propio informe de Sellafield, de la empresa externa de TI Commissum, descubrió que cualquier “pirata informático razonablemente habilidoso o infiltrado malintencionado” podría acceder a datos confidenciales e insertar malware (código informático) que luego podría usarse para robar información.

Euan Hutton, director ejecutivo de Sellafied, se disculpó por los errores cometidos durante años en una declaración escrita a la que se refirió Paul Greaney KC, representante de la empresa. Hutton dijo: “Me disculpo nuevamente en nombre de la empresa por los asuntos que llevaron a estos procedimientos… Creo sinceramente que los problemas que llevaron a este proceso son cosa del pasado”.

Hutton estuvo en el tribunal pero no habló en la audiencia.

Greaney dijo que la compañía había intentado abordar sus fallas de ciberseguridad cambiando la gestión de TI en el sitio y creando un nuevo centro de datos seguro.

El abogado dijo que algunos de los problemas identificados en los últimos años habían sido “acelerados” por la fiscalía, lo que se hizo público en marzo. Greaney dijo que las fallas cibernéticas no fueron resultado de recortes de costos. “No hubo tacañería”, agregó.

El tribunal también escuchó que a un subcontratista se le enviaron accidentalmente 4.000 archivos por error, 13 de los cuales estaban clasificados como “oficialmente sensibles”, sin que se disparara ninguna alarma.

La información nuclear sensible (SNI), el sistema de clasificación especial de la industria, quedó vulnerable en parte debido al uso de tecnología “obsoleta”, como “Windows 7 y Windows 2008”, dijo Lawrence.

La SNI es un modo de categorizar información que puede tener implicaciones para la seguridad nacional y tiene un estatus especial en la ley, como otros materiales clasificados que manejan los servicios de seguridad británicos o la administración pública. Los detalles reciben el estatus de SNI si se “considera que son valiosos para un adversario que planea un acto hostil”, según la ley. OTAN.

Aunque todas las partes dijeron que las fallas eran muy graves, el juez dijo que necesitaría equilibrar el costo para el contribuyente con la necesidad de disuadir a otros en el sector de cometer delitos similares.

La sentencia sería “un nuevo territorio para todos nosotros”, dijo Goldspring, dado que ningún sitio nuclear había sido procesado de esta manera antes.

La Oficina Nacional de Auditoría, el organismo de control del gasto público británico, inició este año una investigación sobre los costos y riesgos en Sellafield.

El año pasado, The Guardian informó que los sistemas del sitio habían sido hackeados por grupos vinculados a Rusia y China en diciembre del año pasado, incorporando malware durmiente que podría estar al acecho y ser utilizado para espiar o atacar sistemas.

En ese momento, Sellafield afirmó que no tenía pruebas de que se hubiera producido un ciberataque con éxito. Greaney dijo al tribunal que no se había encontrado ninguna prueba de que se hubiera producido un ciberataque “efectivo” contra Sellafield. El tribunal escuchó que se había determinado que el centro de operaciones de Sellafield era “incapaz de alertar y responder adecuadamente a los ataques probados”.

Un portavoz de la empresa afirmó: “En Sellafield nos tomamos la ciberseguridad muy en serio, como se refleja en nuestras declaraciones de culpabilidad. Los cargos están relacionados con delitos históricos y no hay indicios de que se haya puesto en peligro la seguridad pública”.

“Sellafield no ha sido objeto de ningún ciberataque exitoso ni ha sufrido ninguna pérdida de información nuclear sensible.

“Ya hemos realizado mejoras significativas en nuestros sistemas, redes y estructuras para garantizar que estemos mejor protegidos y seamos más resilientes”.

La ONR no quiso hacer comentarios. Sellafield ha aceptado pagar 53.000 libras en costes legales.