Sellafield pediu desculpas após se declarar culpado de acusações criminais relacionadas a uma série de falhas de segurança cibernética na instalação nuclear mais perigosa da Grã-Bretanha, o que admitiu que poderia ter ameaçado a segurança nacional.
Entre as falhas no vasto depósito de resíduos nucleares em Cúmbria foi a descoberta de que 75% de seus servidores de computador eram vulneráveis a ataques cibernéticos, ouviu o tribunal de magistrados de Westminster, em Londres.
Informações que poderiam ameaçar a segurança nacional ficaram expostas por quatro anos, revelou o órgão de fiscalização nuclear, e Sellafield disse que estava realizando verificações críticas de integridade de TI que, de fato, não estavam sendo realizadas.
No final do ano passado, o Guardian Vazamentos nucleares investigação revelou uma série de falhas de TI na empresa estatal que datam de vários anos, bem como contaminação radioativa e cultura tóxica no local de trabalho.
Sellafield é um depósito de lixo para resíduos nucleares de programas de armas e décadas de geração de energia atômica. Tem uma força de trabalho de cerca de 11.000 pessoas e faz parte da Nuclear Decommissioning Authority, uma quango de propriedade e financiada por contribuintes.
A investigação do The Guardian também revelou preocupações sobre contratantes externos serem capazes de conectar pen drives no sistema de Sellafield sem supervisão e que seus servidores de computador foram considerados tão inseguros que o problema foi apelidado de Voldemort, em homenagem ao vilão de Harry Potter, por ser muito sensível e perigoso.
Sellafield implorou culpado às acusações apresentadas pelo Escritório de Regulamentação Nuclear (ONR) em junho, relacionadas a crimes de segurança de tecnologia da informação que abrangem um período de quatro anos, de 2019 a 2023.
A empresa agora aguarda a sentença final, que o magistrado chefe, Paul Goldspring, disse que aconteceria em algumas semanas. O ONR disse que espera que a sentença ocorra em setembro.
Em uma audiência de sentença na quinta-feira, o tribunal ouviu que um teste descobriu que era possível baixar e executar arquivos maliciosos nas redes de TI de Sellafield por meio de um ataque de phishing “sem disparar nenhum alarme”, de acordo com Nigel Lawrence KC, representando o ONR.
O local, o maior depósito de plutônio do mundo, ficou vulnerável a ataques cibernéticos internos e externos e 75% de seus servidores estavam inseguros, disse Lawrence, citando um relatório da Atos, uma subcontratada do local.
O próprio relatório de Sellafield, da empresa externa de TI Commissum, descobriu que qualquer “hacker razoavelmente qualificado ou insider malicioso” poderia acessar dados confidenciais e inserir malware – código de computador – que poderia então ser usado para roubar informações.
Euan Hutton, presidente-executivo da Sellafield, pediu desculpas por falhas que abrangem anos em uma declaração escrita de testemunha mencionada por Paul Greaney KC, representando a empresa. Hutton disse: “Peço desculpas novamente em nome da empresa por questões que levaram a esses procedimentos… Acredito genuinamente que as questões que levaram a esse processo estão no passado.”
Hutton estava no tribunal, mas não falou na audiência.
Greaney disse que a empresa tentou resolver suas falhas de segurança cibernética mudando a gestão de TI no local e criando um novo data center seguro.
O advogado disse que alguns problemas identificados nos últimos anos foram “turbinados” pela promotoria. Greaney disse que as falhas não foram resultado de corte de custos. “Não houve mesquinharia”, ele acrescentou.
O tribunal também foi informado de que um subcontratado recebeu 4.000 arquivos por engano, 13 dos quais foram classificados como “oficiais/sensíveis”, sem que nenhum alarme fosse disparado.
Informações nucleares sensíveis (SNI), o sistema de classificação especial da indústria, ficaram vulneráveis em parte devido ao uso de tecnologia “obsoleta”, incluindo o Windows 7 e o Windows 2008, disse Lawrence.
após a promoção do boletim informativo
SNI é um modo de categorizar informações que podem ter implicações de segurança nacional e tem um status especial na lei, como outros materiais classificados manipulados pelos serviços de segurança britânicos ou pelo serviço civil. Os detalhes recebem o status de SNI se forem “considerados de valor para um adversário que planeja um ato hostil”, de acordo com o ONR.
Embora todas as partes tenham dito que as falhas eram muito sérias, o juiz disse que precisaria equilibrar o custo para o contribuinte com a necessidade de dissuadir outros no setor de cometer delitos semelhantes.
A sentença seria “um novo território para todos nós”, disse Goldspring, já que nenhuma instalação nuclear havia sido processada dessa forma antes.
O National Audit Office, órgão de fiscalização dos gastos públicos da Grã-Bretanha, iniciou uma investigação este ano sobre custos e riscos em Sellafield.
O Guardian relatou no ano passado que os sistemas do site tinham sido hackeado por grupos ligados à Rússia e à China em dezembro do ano passado, incorporando malware adormecido que poderia estar à espreita e ser usado para espionar ou atacar sistemas.
Na época, Sellafield disse que não tinha evidências de um ataque cibernético bem-sucedido. Greaney disse ao tribunal que não havia evidências encontradas de um ataque cibernético “efetivo” em Sellafield. O tribunal ouviu que o centro de operações de Sellafield foi considerado “incapaz de alarmar e responder adequadamente a ataques testados”.
Um porta-voz da empresa disse: “Levamos a segurança cibernética extremamente a sério em Sellafield, como refletido em nossas confissões de culpa. As acusações se relacionam a delitos históricos e não há nenhuma sugestão de que a segurança pública tenha sido comprometida.
“Sellafield não foi submetida a um ataque cibernético bem-sucedido ou sofreu qualquer perda de informações nucleares sensíveis. Já fizemos melhorias significativas em nossos sistemas, rede e estruturas para garantir que estamos mais protegidos e mais resilientes.”
O ONR se recusou a comentar. Sellafield concordou em pagar £ 53.000 em custos legais.
