Rimani informato con aggiornamenti gratuiti
Secondo quanto appreso da un tribunale, l'operatore statale britannico della più grande discarica di scorie nucleari d'Europa non è riuscito ad affrontare le debolezze della sicurezza informatica nonostante i ripetuti interventi delle autorità di regolamentazione.
La Sellafield Ltd, che gestisce il sito di smaltimento dei rifiuti nucleari di Sellafield in Cumbria, nel nord-ovest dell'Inghilterra, ha consentito che “vulnerabilità significative” persistessero nei suoi sistemi IT, hanno riferito i pubblici ministeri alla corte di Westminster a Londra.
“Non abbiamo a che fare con quelle che potrebbero essere descritte come violazioni 'tecniche' delle normative”, ha affermato Nigel Lawrence KC, procuratore per l'Office for Nuclear Regulation (ONR) del Regno Unito.
Sellafield detiene la più grande riserva di plutonio al mondo, un sottoprodotto della produzione di energia nucleare, ed è descritto dall'ONR come “uno dei siti nucleari più complessi e pericolosi al mondo”.
Lawrence ha dichiarato alla corte che per “diversi anni” l'ONR aveva evidenziato problemi nella gestione della sicurezza informatica di Sellafield.
Test indipendenti condotti su richiesta dell'ONR alla fine del 2022 hanno rilevato vulnerabilità che potrebbero consentire agli hacker di accedere alla rete di Sellafield.
Lawrence ha aggiunto che l'azienda non ha eseguito i controlli annuali sullo stato di salute del sistema informatico previsti dal piano di sicurezza approvato dall'autorità di regolamentazione e che alcuni dei suoi sistemi erano obsoleti.
Separatamente, nell'aprile 2022, un subappaltatore è riuscito a inviare via e-mail a se stesso 4.000 documenti, di cui 13 classificati come “ufficialmente sensibili”, senza che il trasferimento venisse segnalato, ha detto Lawrence alla corte.
“Le carenze sono state presenti per un periodo di tempo considerevole e, nonostante gli interventi significativi dell'ONR e la guida del suo stesso fornitore IT, l'imputato ha permesso che persistesse una situazione in cui erano presenti vulnerabilità significative nei suoi sistemi di sicurezza informatica”, ha affermato Lawrence.
“Questi avevano il potenziale per causare gravi violazioni della sicurezza, tra cui la compromissione di informazioni nucleari sensibili”, ha aggiunto.
I dettagli sono emersi durante un'udienza di condanna dopo che Sellafield si è dichiarato colpevole a giugno di tre reati ai sensi del Nuclear Industries Security Regulations 2003.
L'azione penale, la prima ai sensi di tali norme, è stata avviata a seguito di un'indagine dell'ONR sulla gestione della sicurezza informatica di Sellafield tra il 2019 e il 2023.
L'azienda, di proprietà della Nuclear Decommissioning Authority del Regno Unito, è responsabile della bonifica e della manutenzione del sito di 6 kmq che ospita i rifiuti provenienti dalle centrali nucleari attive e chiuse del Regno Unito.
Paul Greaney KC, per Sellafield, ha affermato che non vi sono prove di alcun attacco informatico realmente riuscito contro Sellafield, aggiungendo che le vulnerabilità identificate non hanno creato il rischio di una minaccia radiologica.
“Se qualcuno prendesse il controllo, sarebbe in grado di causare una catastrofe? La risposta a questa semplice domanda è no”, ha detto alla corte.
In una dichiarazione rilasciata dopo l'udienza, Sellafield ha affermato di aver “apportato miglioramenti significativi ai nostri sistemi, alla nostra rete e alle nostre strutture per garantire una migliore protezione e una maggiore resilienza”.
Per quanto riguarda l'invio di file tramite posta elettronica da parte del subappaltatore, la società ha affermato che la maggior parte di essi erano file personali dell'individuo e che non vi era stata alcuna perdita di informazioni ufficiali sensibili.
Ha aggiunto: “A Sellafield prendiamo molto seriamente la sicurezza informatica, come si evince dalle nostre dichiarazioni di colpevolezza.
“Le accuse si riferiscono a reati storici e non vi è alcun suggerimento che la sicurezza pubblica sia stata compromessa. Sellafield non è stata sottoposta a un attacco informatico riuscito né ha subito alcuna perdita di informazioni nucleari sensibili”.
L'ONR non ha chiesto alla corte di imporre una sanzione specifica. Ha affermato che Sellafield dovrebbe essere multata di un importo sufficiente a riflettere l'importanza di rispettare le normative. Le norme consentono una multa illimitata. L'anno scorso, Sellafield è stata multata di £ 400.000 per una violazione della salute e della sicurezza.
La sentenza è stata rinviata e sarà emessa dal giudice per iscritto in una data successiva.