Sellafield bood zijn excuses aan nadat hij schuldig had gepleit aan strafrechtelijke aanklachten met betrekking tot een reeks inbreuken op de cyberbeveiliging op de gevaarlijkste nucleaire locatie van Groot-Brittannië, waarvan hij toegaf dat deze de nationale veiligheid in gevaar hadden kunnen brengen.
Een van de tekortkomingen bij een enorme stortplaats voor kernafval in Cumbria was de ontdekking dat 75% van de computerservers kwetsbaar waren voor cyberaanvallen, zo hoorde de Westminster Magistrates’ Court in Londen.
Informatie die de nationale veiligheid zou kunnen bedreigen werd vier jaar lang openbaar gemaakt, constateerde de nucleaire waakhond, en Sellafield zei dat het kritische IT-gezondheidscontroles uitvoerde die in werkelijkheid niet werden uitgevoerd.
Eind vorig jaar bracht het Nuclear Leaks-onderzoek van de Guardian een reeks IT-fouten bij het staatsbedrijf aan het licht die al enkele jaren teruggaan, evenals radioactieve besmetting en een giftige cultuur op de werkplek.
Sellafield is een grote stortplaats voor kernafval uit het wapenprogramma en tientallen jaren van atoomenergieproductie. Het heeft ongeveer 11.000 medewerkers en maakt deel uit van de Nuclear Decommissioning Authority, een quango die eigendom is van en gefinancierd wordt door de belastingbetaler.
Uit het onderzoek van The Guardian kwam ook de bezorgdheid naar voren dat externe contractanten zonder toezicht geheugensticks in het systeem van Sellafield konden aansluiten en dat de computerservers als zo onveilig werden beschouwd dat het probleem de bijnaam Voldemort kreeg, naar de Harry Potter-schurk, omdat het zo gevoelig en gevaarlijk was.
Sellafield bekende schuldig te zijn aan aanklachten die het Office of Nuclear Regulation (ONR) in juni had ingediend met betrekking tot inbreuken op de beveiliging van informatietechnologie gedurende een periode van vier jaar, van 2019 tot 2023.
Het bedrijf wacht nu op een definitieve uitspraak, die volgens hoofdrechter Paul Goldspring binnen enkele weken zal plaatsvinden. ONR laat weten dat het vonnis in september wordt verwacht.
Tijdens de hoorzitting van donderdag hoorde de rechtbank dat uit de test bleek dat het mogelijk was om kwaadaardige bestanden op de IT-netwerken van Sellafield te downloaden en uit te voeren via phishing-aanvallen “zonder alarm te slaan”, aldus ONR-vertegenwoordiger Nigel Lawrence KC.
De site, ‘s werelds grootste plutoniumopslag, bleef kwetsbaar voor interne en externe cyberaanvallen, waarbij 75 procent van de servers onveilig was, zei Lawrence, daarbij verwijzend naar een rapport van Atos, een onderaannemer van de site.
Sellafield’s eigen rapport, van extern IT-bedrijf Commissum, ze ontdekten dat elke “redelijk bekwame hacker of kwaadwillende insider” toegang kon krijgen tot gevoelige gegevens en malware (computercode) kon inbrengen die vervolgens kon worden gebruikt om informatie te stelen.
Euan Hutton, CEO van Sellafield, verontschuldigde zich voor de jaren van mislukkingen in een schriftelijke getuigenverklaring waarnaar verwezen werd door Paul Greaney KC, die het bedrijf vertegenwoordigde. Hutton zei: “Ik bied namens het bedrijf nogmaals mijn excuses aan voor de zaken die tot deze procedure hebben geleid … Ik geloof oprecht dat de problemen die tot deze vervolging hebben geleid tot het verleden behoren.”
Hutton was in de rechtszaal, maar sprak niet tijdens de hoorzitting.
Greaney zei dat het bedrijf probeerde de tekortkomingen op het gebied van cyberbeveiliging aan te pakken door het IT-beheer op de locatie te veranderen en een nieuw beveiligd datacenter te creëren.
De advocaat zei dat de aanklager een aantal problemen die de afgelopen jaren waren geïdentificeerd, met een turbo had aangepakt. Greaney zei dat de weglatingen niet het gevolg waren van kostenbesparingen. “Er was geen sprake van centenknijpen”, voegde hij eraan toe.
De rechtbank hoorde ook dat de onderaannemer per abuis 4.000 dossiers had toegestuurd, waarvan er 13 als “officieel/gevoelig” waren geclassificeerd, zonder dat er alarm was geslagen.
Gevoelige Nucleaire Informatie (SNI), een speciaal industrieclassificatiesysteem, bleef gedeeltelijk kwetsbaar vanwege het gebruik van “verouderde” technologie, waaronder Windows 7 en Windows 2008, zei Lawrence.
na het promoten van de nieuwsbrief
SNI is een manier om informatie te categoriseren die gevolgen kan hebben voor de nationale veiligheid en die een speciale wettelijke status heeft, evenals ander geclassificeerd materiaal dat wordt behandeld door de Britse veiligheidsdiensten of het ambtenarenapparaat. Details krijgen de status van SNI als ze “van waarde worden geacht voor een tegenstander die een vijandige daad plant”, aldus de ONR.
Hoewel alle partijen zeiden dat de tekortkomingen zeer ernstig waren, zei de rechter dat hij de kosten voor de belastingbetalers zou moeten afwegen tegen de noodzaak om anderen in de sector ervan te weerhouden soortgelijke overtredingen te begaan.
De veroordeling zou “nieuw terrein voor ons allemaal” zijn, zei Goldspring, aangezien nog nooit eerder een nucleaire site op deze manier is vervolgd.
De National Audit Office, de Britse waakhond voor de overheidsuitgaven, is dit jaar een onderzoek gestart naar de kosten en risico’s bij Sellafield.
The Guardian meldde vorig jaar dat de systemen van de site in december vorig jaar waren gehackt door groepen die banden hadden met Rusland en China, waarbij malware op de loer lag en gebruikt kon worden om systemen te bespioneren of aan te vallen.
Sellafield zei destijds dat er geen bewijs was van een succesvolle cyberaanval. Greaney vertelde de rechtbank dat er geen bewijs was gevonden voor een ‘effectieve’ cyberaanval op Sellafield. De rechtbank hoorde dat het operatiecentrum van Sellafield “niet in staat was om adequaat te waarschuwen en te reageren op de geteste aanvallen”.
Een woordvoerder van het bedrijf zei: “We nemen cyberbeveiliging uiterst serieus bij Sellafield, wat tot uiting komt in onze schuldige pleidooien. De tenlasteleggingen hebben betrekking op historische misdrijven en er zijn geen aanwijzingen dat de openbare veiligheid in gevaar is.
“Sellafield is niet onderworpen aan een succesvolle cyberaanval en heeft geen verlies geleden van gevoelige nucleaire informatie. We hebben al aanzienlijke verbeteringen aangebracht aan onze systemen, netwerk en structuren om ervoor te zorgen dat we beter beschermd en veerkrachtiger zijn.”
ONR weigerde commentaar te geven. Sellafield stemde ermee in om £ 53.000 aan gerechtskosten te betalen.