A planta de processamento de resíduos nucleares de Sellafield, no Reino Unido, foi multada em £ 333 mil por erros de segurança da informação
A empresa que administra o local de processamento e descomissionamento de resíduos nucleares de Sellafield, na Grã-Bretanha, foi multada em £ 332.500 (US$ 440.000) pelo Escritório de Regulamentação Nuclear (ONR) do país por suas práticas de segurança cibernética de má qualidade entre 2019 e 2023.
Sellafield, localizada em Cumbria, Inglaterra, gere mais resíduos radioactivos do que qualquer outra instalação nuclear no mundo, e o trabalho de desmantelamento que acontece nas instalações envolve actividades de alto risco, incluindo recuperação de resíduos, armazenamento de plutónio e urânio, e gestão e remediação de combustível nuclear irradiado.
A última coisa que precisa é de segurança cibernética duvidosa. No entanto, as más práticas de segurança da informação do site violaram os Regulamentos de Segurança das Indústrias Nucleares do Reino Unido de 2003, de acordo com o ONR.
Felizmente, apesar dos quatro anos de negligência na segurança cibernética, que deixou os seus sistemas de TI vulneráveis ao acesso não autorizado e ao roubo de dados, “não há provas de que quaisquer vulnerabilidades na Sellafield Ltd tenham sido exploradas como resultado das falhas identificadas”, disse o regulador. concluiu o corpo. Sellafield Ltd é a empresa controlada pelo governo responsável por a planta.
“As falhas eram conhecidas há um período considerável de tempo, mas apesar de nossas intervenções e orientações, Sellafield não conseguiu responder de forma eficaz, o que a deixou vulnerável a violações de segurança e ao comprometimento de seus sistemas”, disse Paul Fyfe, diretor sênior de regulamentação da ONR após o juiz impôs uma sanção financeira à instalação de gestão de resíduos nucleares.
Sellafield Ltd não respondeu imediatamente a O Registroperguntas.
Esta multa e comparecimentos ao tribunal seguem alegações de dezembro de 2023 de que Sellafield havia sido atingido por malware pela Rússia e pela China. Na época, o governo do Reino Unido e o ONR negaram que os sistemas estivessem comprometidos. Mais tarde, porém, o ONR decidiu processar entidade após a investigação da instalação nuclear.
Embora tenha sido dito que nada malicioso aconteceu apesar dos quase acidentes de segurança da informação de Sellafield, no ano passado um inspetor ONR observou que um ataque de ransomware bem-sucedido poderia prejudicar o trabalho de “redução de risco de alto risco” realizado no local, e a recuperação de operações de TI após esse tipo de intrusão digital poderia levar até 18 meses.
Além disso, num relatório interno, a própria instalação admitiu que um ataque de phishing bem sucedido ou um infiltrado malicioso poderia ter comprometido dados sensíveis, interrompido operações, danificado instalações e atrasado atividades de desmantelamento.
Na sequência da investigação do ONR e da subsequente acusação, Sellafield declarou-se culpada em Junho por não ter cumprido o seu próprio plano de segurança ao não garantir a protecção adequada de informações nucleares sensíveis na sua rede informática.
A empresa também se declarou culpada de não cumprir seu plano de segurança aprovado ao não organizar verificações anuais de saúde da tecnologia operacional, realizadas por um testador autorizado em março de 2021 e março de 2022.
E então, o repositório de resíduos nucleares supostamente perguntou o juiz por clemência.
No início desta semana, no Tribunal de Magistrados de Westminster, o Juiz Distrital Sênior do Magistrado Chefe Paul Goldspring ordenou que Sellafield pagasse uma multa de £ 332.500, mais custos de acusação de £ 53.253,20. ®
