Najopasnije britansko nuklearno postrojenje, Selafild, hakovale su sajber grupe bliske veze sa Rusijom i Kinom, otkriva Gardijan.
Zapanjujuće otkriće i njegov potencijalni uticaj dosledno su prikrivali viši rukovodioci u postrojenju za masovni nuklearni otpad i razgradnju, pokazala je istraga.
Gardijan je otkrio da vlasti ne znaju tačno kada su IT sistemi prvi put kompromitovani. Međutim, izvori su rekli da su prva kršenja otkrivena još 2015. godine, kada su stručnjaci otkrili da je malver – softver koji se skriva i može da se koristi za špijuniranje ili napad na sisteme – ugrađen u Sellafieldove računarske mreže.
Još uvek nije poznato da li je malver iskorenjen. To bi moglo značiti da su neke od najosetljivijih aktivnosti Selafilda, kao što su otprema radioaktivnog otpada, praćenje curenja opasnih materija i kontrola požara, ugrožene.
Izvori su rekli da je verovatno da su strani hakeri pristupili najvišim nivoima poverljivog materijala u objektu koji se prostire na 6 kvadratnih kilometara na obali Kambrija i među najopasnijim je na svetu.
Potpuni obim gubitka podataka i tekući rizici za sisteme teško je kvantifikovati jer Sellafield nije upozoravao nuklearne regulatore nekoliko godina, rekli su izvori.
Otkrića su se pojavila u Nuclear Leaks-u, jednogodišnjoj istrazi Gardijana o sajber hakovanju, radioaktivnoj kontaminaciji i toksičnoj kulturi radnog mesta u Selafildu.
Objekat ima najveće skladište plutonijuma na svetu i veliko je deponije nuklearnog otpada iz programa naoružanja i decenija proizvodnje nuklearne energije.
Čuva ga naoružana policija i takođe sadrži dokumente o planiranju za vanredne situacije u slučaju da Velika Britanija bude napadnuta spolja ili se dogodi katastrofa. Izgrađen pre više od 70 godina, objekat, ranije nazvan Vindscale, proizvodio je plutonijum za nuklearno oružje tokom Hladnog rata i prihvatao je radioaktivni otpad iz drugih zemalja, uključujući Italiju i Švedsku.
Gardijan takođe može otkriti da je Selafild, koji zapošljava više od 11.000 ljudi, prošle godine stavljen u formu „posebne mere” zbog upornih propusta u sajber bezbednosti, navode izvori iz Kancelarije za nuklearnu regulaciju (ONR) i bezbednosnih službi.
Veruje se i da se regulator priprema da krivično goni pojedince zbog sajber kršenja.
ONR je potvrdio da Selafild ne poštuje svoje sajber standarde, ali je odbio da komentariše kršenja ili navode o „zataškavanju“.
Portparolka je rekla: „Neke konkretne stvari su predmet tekućih istraga, tako da u ovom trenutku ne možemo da komentarišemo dalje.
U saopštenju, Sellafield je takođe odbio da komentariše neuspeh u informisanju regulatora, umesto toga navodeći poboljšanja koja je kompanija rekla da je napravila poslednjih godina.
Ed Miliband, laburistički ministar u senci za energetsku bezbednost i nultu neto energiju, rekao je da je izveštaj “veoma zabrinjavajući za jedan od naših najosetljivijih delova energetske infrastrukture”.
„On iznosi tvrdnje koje vlada mora tretirati sa najvećom ozbiljnošću“, rekao je on.
„Vlada ima odgovornost da kaže kada je prvi put saznala za ove optužbe, koje su radnje preduzeli ona i regulator i koja uveravanja treba dati da bi zaštitili našu nacionalnu bezbednost.
Prema vladinom zvaničniku koji je upoznat sa istragom ONR-a i IT nedostacima u Sellafieldu, problem nesigurnih servera u Sellafieldu nazvan je po zlikovcu Hari Potera „Voldemort“ jer je tako osjetljiv i opasan. Radilo se o veoma osetljivim podacima koje su britanski neprijatelji mogli da iskoriste. Zvaničnik je opisao Sellafieldovu serversku mrežu kao „fundamentalno nesigurnu“.
Obim problema je otkriven tek kada su zaposleni na eksternoj lokaciji otkrili da mogu pristupiti Sellafieldovim serverima i prijavili to ONR-u, prema insajderu regulatora.
Ostala zabrinutost uključuje mogućnost da izvođači trećih strana umetnu memorijske kartice u sistem bez nadzora.
U izuzetno sramotnom incidentu prošlog jula, prijave i lozinke za bezbedne IT sisteme slučajno su emitovane na nacionalnoj televiziji od strane BBC One emisije o prirodi Countrifile nakon što je tim pozvan na bezbednu lokaciju za segment o ruralnim zajednicama i nuklearnoj industriji.
ONR je pripremio krivičnu prijavu za sajber bezbednost za Sellafilda – oblik prinudne radnje koju može da preduzme samo ako veruje da postoji „dovoljno dokaza da bi se realno moglo osuditi”.
Prema izveštaju iz 2012. u koji je Gardijan imao uvid, više rukovodstvo nuklearne elektrane bilo je svesno sajber problema najmanje deceniju.
Izveštaj je utvrdio da su bezbednosni resursi u to vreme bili „neadekvatni da kontrolišu unutrašnju pretnju [od osoblja], a kamoli da odgovore na značajno povećanje spoljne pretnje“.
Više od decenije kasnije, zvaničnici Selafilda, regulatori i izvori u obaveštajnoj zajednici veruju da sistemi masovnih deponija nuklearnog otpada još uvek nisu pogodni za svoju svrhu. Oni takođe veruju da su viši lideri namerno pokušali da sakriju obim problema sajber bezbednosti na sajtu od bezbednosnih zvaničnika koji su imali zadatak da ispitaju ranjivost Ujedinjenog Kraljevstva na napade poslednjih godina. Ovo je predmet mogućeg krivičnog gonjenja.
Bezbednosni zvaničnici su takođe zabrinuti što ONR sporo deli svoje nalaze o Sellafieldovim sajber nedostacima, ističući da je sopstveni nadzor bio neefikasan više od jedne decenije.
U najnovijem godišnjem izveštaju ONR-a navodi se da su „potrebna poboljšanja“ u Sellafildu i drugim sajtovima kako bi se rešili rizici sajber bezbednosti. On je takođe potvrdio da sajt dobija „značajno povećanu pažnju“ u tom pogledu.
ONR je saopštio da je tokom svojih inspekcija identifikovao „nedostatke“ u sajber bezbednosti i da je potom preduzeo „mere za sprovođenje“.
Obim problema sa sajber-bezbednošću je takav da neki zvaničnici veruju da bi novi sistemi trebalo hitno da se izgrade u obližnjem kontrolnom centru za hitne slučajeve Sellafield – posebnom sigurnom objektu.
Veoma osetljivi dokumenti koji se čuvaju u Selafildu uključuju priručnike o katastrofama, planove koji vode ljude kroz protokole za nuklearne hitne slučajeve i šta da rade u slučaju stranog napada na UK.
Ovi dokumenti sadrže neke od lekcija naučenih iz brojnih osetljivih operacija, uključujući Vežbu Reassure 2005. godine – i redovne vežbe Oskara – osmišljene da testiraju sposobnost Ujedinjenog Kraljevstva da se izbori sa nuklearnom katastrofom u Kambriji.
ONR je bio toliko zabrinut zbog činjenice da su spoljne veb stranice mogle da pristupe Sellafieldovim serverima i očiglednog zataškavanja od strane osoblja da je ispitivao timove koji su bili rezervisani. Sellafieldov odbor je sproveo istragu o ovom pitanju 2013. godine i ONR je upozorio da će zahtevati više transparentnosti u IT bezbednosti.
Prema bezbednosnim vlastima, sajber napadi i sajber špijunaža od strane Rusije i Kine su među najvećim pretnjama Velikoj Britaniji. Najnoviji Nacionalni registar rizika, zvanični dokument koji navodi ključne pretnje Ujedinjenom Kraljevstvu, takođe uključuje sajber napad na civilnu nuklearnu infrastrukturu.
Napadači iz neprijateljskih država su poslednjih godina gađali saveznike zajednice „Pet očiju“. SAD su napadnute u junu ove godine, a njihove vladine agencije, uključujući Ministarstvo energetike, bile su na meti softvera za prenos datoteka.
Britanska sajber divizija GCHK, koja ima kancelarije u centru Londona i deo je domaće obaveštajne mreže sa sedištem u Čeltenhemu u Glosterširu, upozorila je na povećan rizik od sajber napada na kritičnu nacionalnu infrastrukturu od strane Rusije i Kine.
Rastuća zabrinutost vlade oko kineske umešanosti u kritičnu nacionalnu infrastrukturu u Velikoj Britaniji dovela je do uklanjanja kineske državne energetske kompanije CGN iz nuklearnog projekta Sizevell C u Safolku i uklanjanja Huavei proizvoda iz jezgra telekomunikacione mreže poslednjih godina .
Time je okončan period bliskih anglo-kineskih odnosa koji je kulminirao time što je tadašnji premijer Dejvid Kameron pozdravio „zlatnu eru“ između dve zemlje i ispijao pivo sa kineskim premijerom Si Đinpingom u pabu u Bakingemširu 2015.
Vlada Rišija Sunaka se obavezala da će proširiti nuklearnu industriju u zemlji nakon energetske krize, nastavljajući tamo gde je stao njegov prethodnik Boris Džonson. Ranije ove godine, tadašnji ministar energetike Grant Shapps pokrenuo je Great British Nuclear, telo dizajnirano da obezbedi nove nuklearne elektrane. Generacija novih nuklearnih projekata će na kraju zahtevati proširenje aktivnosti razgradnje u Velikoj Britaniji.
Razgradnja nuklearnih elektrana, od kojih se veliki deo obavlja u Sellafildu, jedno je od najvećih opterećenja za godišnji budžet britanske vlade za Odeljenje za ekonomske poslove. Rad fabrike košta oko 2,5 milijardi funti godišnje. Razgradnja je tako veliki, dugoročni trošak da je od strane nadzornika potrošnje, Kancelarije za budžetsku odgovornost, označen kao „fiskalni rizik“ za ekonomsko zdravlje Ujedinjenog Kraljevstva. Procenjuje se da bi rešavanje nasleđa britanske nuklearne energije i industrije oružja moglo koštati do 263 milijarde funti.
Ta cifra uveliko varira u zavisnosti od toga kako se izračunava budući novčani tok, a OBR je upozorio da bi dugoročni troškovi Sellafielda mogli da variraju između minus 50% i plus 300%.
Portparolka Selafilda je rekla: „Shvatamo sajber bezbednost u Sellafildu veoma ozbiljno. Svi naši sistemi i serveri imaju više slojeva zaštite.
„Kritične mreže koje nam omogućavaju da radimo bezbedno su izolovane od naše opšte IT mreže tako da napad na naš IT sistem ne može da prodre u njih.
„Tokom poslednjih 10 godina, evoluirali smo da odgovorimo na izazove savremenog sveta, uključujući veći fokus na sajber bezbednost.
“Mi blisko sarađujemo sa našim regulatorom. Na osnovu napretka koji smo postigli, dogovorili smo se o putu da se pomerimo sa ‘značajno povećane’ regulative.”
Portparol ONR-a je rekao: „Sellafield Ltd. trenutno ne ispunjava visoke standarde koje zahtevamo u pogledu sajber bezbednosti, zbog čega smo im stavili pod značajno povećanu pažnju.
„Neke konkretne stvari su predmet tekućih istraga i u ovom trenutku ne možemo dalje da komentarišemo.
Pre objavljivanja, Selafild i ONR odbili su da odgovore na brojna konkretna pitanja ili da kažu da li su Selafildove mreže kompromitovale grupe koje su povezane sa Rusijom i Kinom. Nakon objavljivanja, rekli su da nemaju evidenciju da sugerišu da su Selafildove mreže uspešno napale državni akteri na način opisan u Gardijanu.
Portparol Odeljenja za energetsku bezbednost i Net Zero rekao je: „Očekujemo najviše bezbednosne standarde prilikom demontaže bivših nuklearnih objekata i regulator je uveren da javna bezbednost nije ugrožena u Sellafildu.
“Mnoga pitanja koja su pokrenuta su istorijska i regulator već neko vreme radi sa Sellafieldom kako bi osigurao implementaciju neophodnih poboljšanja. Očekujemo da ćemo redovno dobijati ažurirane informacije o napretku ovog posla.”/The Guardian/