Некоммерческая организация Sellafield Limited, управляющая одноимённым ядерным объектом на северо-западе Англии, была оштрафована на £332,500 (около $440 тысяч) за нарушения в области кибербезопасности. Согласно решению Офиса по ядерному регулированию (ONR), компания не соблюдала свои собственные стандарты кибербезопасности, что подвергало риску конфиденциальную информацию в период с 2019 по 2023 годы.
По данным ONR, специалисты Sellafield оставили без внимания ряд критических уязвимостей в своих информационных системах, нарушив регламент безопасности ядерной промышленности от 2003 года. Несмотря на то, что каких-либо киберинцидентов не произошло, выявленные проблемы создавали потенциальную угрозу кибератак, включая установку вредоносного ПО, фишинговые атаки и утечку данных.
Sellafield – один из крупнейших ядерных объектов Европы и играет ключевую роль в переработке и хранении радиоактивных материалов. На объекте сосредоточено больше ядерных отходов, чем на любом другом предприятии мира. Он выполняет задачи по обращению с топливом, осадком и отходами, хранит уран и плутоний, а также занимается ликвидацией старых ядерных установок.
Ранее расследования британской газеты The Guardian выявили серьёзные проблемы кибербезопасности на объекте. Было установлено, что подрядчики имели доступ к критически важным системам и могли подключать к ним внешние устройства, такие как USB-накопители. Аудит французской компании Atos показал, что около 75% серверов Sellafield были уязвимы к потенциальным атакам с катастрофическими последствиями.
ONR провёл собственное расследование, подтвердив несоответствие стандартам кибербезопасности. Однако организация отметила, что не было обнаружено фактов взлома или использования уязвимостей в Sellafield. Это опровергает сообщения некоторых СМИ о якобы успешных атаках иностранных хакеров и закладке ими вредоносного ПО. Как бы то ни было, Sellafield свою вину признал.
В заявлении ONR говорится, что организация Sellafield Ltd “допустила значительные нарушения в обеспечении кибербезопасности и защите ядерной информации”. Указывается, что уязвимости сохранялись на протяжении длительного времени, что создавало риск несанкционированного доступа к IT-системам и утечки данных. Тем не менее, официально подтверждено, что обнаруженные недостатки не привели ко взлому или атакам.
ONR провёл инспекцию Sellafield и выявил, что в случае успешной атаки типа “вымогатель” работа ядерного объекта могла бы быть нарушена на срок до 18 месяцев. На протяжении последнего года компания заменила часть руководящего состава и IT-менеджеров, чтобы усилить меры по кибербезопасности. По оценке ONR, прогресс в решении выявленных проблем оценивается как положительный.
Штраф в £332,500 стал серьёзным напоминанием о том, что обеспечение защиты информационных систем на таких стратегически важных объектах, как Sellafield, не терпит халатности. В эпоху растущих киберугроз даже временные пробелы в безопасности могут привести к серьёзным последствиям, и предотвращение таких рисков требует не только ответственности компании, но и постоянного совершенствования мер защиты.