Home MEDIO AMBIENTE Sellafield pede desculpas após confissão de culpa por uma série de falhas...

Sellafield pede desculpas após confissão de culpa por uma série de falhas de segurança cibernética | Resíduos nucleares

32
0


Sellafield pediu desculpas após se declarar culpado de acusações criminais relacionadas a uma série de falhas de segurança cibernética na instalação nuclear mais perigosa da Grã-Bretanha, o que admitiu que poderia ter ameaçado a segurança nacional.

Entre as falhas no vasto depósito de resíduos nucleares em Cúmbria foi a descoberta de que 75% de seus servidores de computador eram vulneráveis ​​a ataques cibernéticos, ouviu o tribunal de magistrados de Westminster, em Londres.

Informações que poderiam ameaçar a segurança nacional ficaram expostas por quatro anos, revelou o órgão de fiscalização nuclear, e Sellafield disse que estava realizando verificações críticas de integridade de TI que, de fato, não estavam sendo realizadas.

No final do ano passado, o Guardian Vazamentos nucleares investigação revelou uma série de falhas de TI na empresa estatal que datam de vários anos, bem como contaminação radioativa e cultura tóxica no local de trabalho.

Sellafield é um depósito de lixo para resíduos nucleares de programas de armas e décadas de geração de energia atômica. Tem uma força de trabalho de cerca de 11.000 pessoas e faz parte da Nuclear Decommissioning Authority, uma quango de propriedade e financiada por contribuintes.

A investigação do The Guardian também revelou preocupações sobre contratantes externos serem capazes de conectar pen drives no sistema de Sellafield sem supervisão e que seus servidores de computador foram considerados tão inseguros que o problema foi apelidado de Voldemort, em homenagem ao vilão de Harry Potter, por ser muito sensível e perigoso.

Sellafield implorou culpado às acusações apresentadas pelo Escritório de Regulamentação Nuclear (ONR) em junho, relacionadas a crimes de segurança de tecnologia da informação que abrangem um período de quatro anos, de 2019 a 2023.

A empresa agora aguarda a sentença final, que o magistrado chefe, Paul Goldspring, disse que aconteceria em algumas semanas. O ONR disse que espera que a sentença ocorra em setembro.

Em uma audiência de sentença na quinta-feira, o tribunal ouviu que um teste descobriu que era possível baixar e executar arquivos maliciosos nas redes de TI de Sellafield por meio de um ataque de phishing “sem disparar nenhum alarme”, de acordo com Nigel Lawrence KC, representando o ONR.

O local, o maior depósito de plutônio do mundo, ficou vulnerável a ataques cibernéticos internos e externos e 75% de seus servidores estavam inseguros, disse Lawrence, citando um relatório da Atos, uma subcontratada do local.

O próprio relatório de Sellafield, da empresa externa de TI Commissum, descobriu que qualquer “hacker razoavelmente qualificado ou insider malicioso” poderia acessar dados confidenciais e inserir malware – código de computador – que poderia então ser usado para roubar informações.

Euan Hutton, presidente-executivo da Sellafield, pediu desculpas por falhas que abrangem anos em uma declaração escrita de testemunha mencionada por Paul Greaney KC, representando a empresa. Hutton disse: “Peço desculpas novamente em nome da empresa por questões que levaram a esses procedimentos… Acredito genuinamente que as questões que levaram a esse processo estão no passado.”

Hutton estava no tribunal, mas não falou na audiência.

Greaney disse que a empresa tentou resolver suas falhas de segurança cibernética mudando a gestão de TI no local e criando um novo data center seguro.

O advogado disse que alguns problemas identificados nos últimos anos foram “turbinados” pela promotoria. Greaney disse que as falhas não foram resultado de corte de custos. “Não houve mesquinharia”, ele acrescentou.

O tribunal também foi informado de que um subcontratado recebeu 4.000 arquivos por engano, 13 dos quais foram classificados como “oficiais/sensíveis”, sem que nenhum alarme fosse disparado.

Informações nucleares sensíveis (SNI), o sistema de classificação especial da indústria, ficaram vulneráveis ​​em parte devido ao uso de tecnologia “obsoleta”, incluindo o Windows 7 e o Windows 2008, disse Lawrence.

pular promoção de boletim informativo anterior

SNI é um modo de categorizar informações que podem ter implicações de segurança nacional e tem um status especial na lei, como outros materiais classificados manipulados pelos serviços de segurança britânicos ou pelo serviço civil. Os detalhes recebem o status de SNI se forem “considerados de valor para um adversário que planeja um ato hostil”, de acordo com o ONR.

Embora todas as partes tenham dito que as falhas eram muito sérias, o juiz disse que precisaria equilibrar o custo para o contribuinte com a necessidade de dissuadir outros no setor de cometer delitos semelhantes.

A sentença seria “um novo território para todos nós”, disse Goldspring, já que nenhuma instalação nuclear havia sido processada dessa forma antes.

O National Audit Office, órgão de fiscalização dos gastos públicos da Grã-Bretanha, iniciou uma investigação este ano sobre custos e riscos em Sellafield.

O Guardian relatou no ano passado que os sistemas do site tinham sido hackeado por grupos ligados à Rússia e à China em dezembro do ano passado, incorporando malware adormecido que poderia estar à espreita e ser usado para espionar ou atacar sistemas.

Na época, Sellafield disse que não tinha evidências de um ataque cibernético bem-sucedido. Greaney disse ao tribunal que não havia evidências encontradas de um ataque cibernético “efetivo” em Sellafield. O tribunal ouviu que o centro de operações de Sellafield foi considerado “incapaz de alarmar e responder adequadamente a ataques testados”.

Um porta-voz da empresa disse: “Levamos a segurança cibernética extremamente a sério em Sellafield, como refletido em nossas confissões de culpa. As acusações se relacionam a delitos históricos e não há nenhuma sugestão de que a segurança pública tenha sido comprometida.

“Sellafield não foi submetida a um ataque cibernético bem-sucedido ou sofreu qualquer perda de informações nucleares sensíveis. Já fizemos melhorias significativas em nossos sistemas, rede e estruturas para garantir que estamos mais protegidos e mais resilientes.”

O ONR se recusou a comentar. Sellafield concordou em pagar £ 53.000 em custos legais.



Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here