История громкого дела – от отрицания до признания вины в халатности.
Компания, управляющая крупнейшим ядерным объектом в Великобритании Sellafield, признала свою вину по трём уголовным обвинениям, связанным с нарушениями кибербезопасности. Дело стало знаковым в судебной практике, и юридический представитель компании отрицал в суде утверждения о хакерских атаках на объект.
В начале 2023 года британское Управление по ядерному регулированию (Office for Nuclear Regulation, ONR) выдвинуло обвинения против оператора Селлафилда за нарушения информационной безопасности с 2019 по начало 2023 года. Слушание по делу назначено на 8 августа.
В 2023 году расследование The Guardian выявило, что высокопоставленные сотрудники постоянно скрывали информацию об атаках. Неизвестно, когда системы были впервые скомпрометированы, но первые нарушения были обнаружены еще в 2015 году. В сетях Sellafield обнаружили «спящее» вредоносное ПО, которое по сей день может использоваться для шпионажа.
Данное дело – первое, поданное ONR в рамках Регламента о безопасности ядерной промышленности 2003 года, который требует соблюдения ядерными объектами установленных стандартов для их планов физической и ИТ-безопасности. Обвинения последовали за годовым отчетом ONR, в котором выяснилось, что Селлафилд уже находился в центре повышенного внимания регулирующих органов из-за недостатков в кибербезащите.
Селлафилд хранит больше плутония, чем любой другой объект на планете, и включает разнообразные объекты для вывода из эксплуатации, переработки и хранения ядерных отходов. Хотя реактор Селлафилда был остановлен в 2003 году, он остаётся крупнейшим ядерным комплексом Европы, занимая 6 квадратных километров в Камбрии. ONR называет Селлафилд одним из самых сложных и опасных ядерных объектов в мире.
Обвинения ONR касаются процедурных нарушений, а не конкретных хакерских атак:
Юридический представитель Селлафилда заявил в суде, что признание вины компанией отражает наличие систем кибербезопасности, которые не работали должным образом в течение определенного периода времени. Подчеркивается, что успешных кибератак на Селлафилд не было и нет. Обвинения относятся к прошлому и не отражают текущую ситуацию.
Детали нарушений пока не обнародованы. Ожидается, что подробности будут опубликованы одновременно с вынесением приговора. Представитель ONR отметил, что доказательств использования уязвимостей нет. Ввиду продолжающегося судебного разбирательства, ONR и Селлафилд не предоставляют дополнительных комментариев.
