Çalışan İnsanlar Tarafından Tesise “Voldemort” Lakabı Verildi...
17:36:42
Birleşik Krallık Nükleer Tesisi Siber Güvenlik Eksiklikleri Nedeniyle 440.000 Dolar Para Cezasına Çarptırıldı
Nükleer atık işleme tesisi Sellafield, siber güvenlik standartlarına uymadığı ve hassas nükleer bilgileri 2019’dan 2023’e kadar dört yıl boyunca riske attığı için Nükleer Düzenleme Ofisi (ONR) tarafından 332.500 £ (440 bin dolar) para cezasına çarptırıldı.
ONR‘nin duyurusuna göre Sellafield, BT sistemlerindeki birden fazla güvenlik açığını yamasız bırakarak kendi onaylı siber güvenlik protokollerini takip etmemiş ve Nükleer Endüstriler Güvenlik Yönetmeliği 2003’ü ihlal etmiştir.
Herhangi bir istismar meydana gelmemiş olsa da, zayıflıklar tesisi fidye yazılımı, kimlik avı ve potansiyel veri kaybı gibi risklere maruz bırakarak yüksek tehlike arz eden operasyonları aksatabilir ve hizmetten çıkarma çalışmalarını geciktirebilir.
Gerçekleşmeyi bekleyen bir felaket
Sellafield, Birleşik Krallık’ın Cumbria bölgesinde bulunan Avrupa’nın en büyük nükleer tesislerinden biridir. Radyoaktif maddelerin yönetilmesi ve işlenmesinde önemli bir rol oynayan tesis, dünya genelindeki diğer tesislerden daha fazla nükleer atığı tek bir yerde işlemektedir.
Tesis, nükleer atık, yakıt ve çamurun eski havuzlardan ve silolardan alınması, plütonyum ve uranyum gibi radyoaktif maddelerin depolanması, kullanılmış nükleer yakıt çubuklarının yönetilmesi ve nükleer tesislerin iyileştirilmesi ve hizmetten çıkarılmasıyla ilgilenmektedir.
Sellafield, Birleşik Krallık’ın nükleer atık yönetim sistemi için kritik bir birimdir, bu nedenle BT sistemlerinin güvenliği güvenli operasyonların sağlanması için hayati önem taşımaktadır.
Geçtiğimiz yıl The Guardian tarafından Sellafield‘in siber güvenliğine ilişkin olarak yapılan bir dizi araştırma, çok sayıda ciddi soruna dikkat çekmiş ve yüklenicilerin kritik sistemlere kolayca erişebildiklerini ve diğer şeylerin yanı sıra USB sürücüleri yükleyebildiklerini ortaya çıkarmıştır.
Buna ek olarak, tesis içindeki bilinen güvenlik açıkları, orada çalışan insanlar tarafından tesise “Voldemort” lakabının verilmesine neden oldu.
Fransız güvenlik firması Atos tarafından yapılan bir denetim, Sellafield sunucularının yaklaşık %75’inin potansiyel olarak yıkıcı sonuçlar doğurabilecek saldırılara karşı savunmasız olduğunu ortaya koymuştur.
Nükleer tesisin işletmecileri Haziran 2024’te standart BT güvenlik düzenlemelerine uymadıkları için suçlarını kabul ederek başarısızlıklarını itiraf ettiler.
ONR Sellafield‘e ceza kesti ancak ihlal olmadığını doğruladı
ONR bu raporları inceledi ve Sellafield‘in Birleşik Krallık’ta bu tür tesislerin işletilmesini destekleyen siber güvenlik standartlarına uymadığını teyit ederken, güvenlik açıklarının saldırılarda kullanıldığına dair bir kanıt bulamadığını söyledi.
Bu durum, Rus ve Çinli bilgisayar korsanlarının siteye kötü amaçlı yazılım yerleştirdiği ve güvenlik ihlallerinin 2015 yılına kadar uzandığı yönünde basında daha önce yer alan haberlerle çelişmektedir.
ONR tarafından yapılan duyuruda “ONR tarafından yapılan bir soruşturma […] Sellafield Ltd’nin siber güvenlik ve hassas nükleer bilgilerin korunmasına yönelik kendi onaylı planında belirtilen standartları, prosedürleri ve düzenlemeleri karşılayamadığını ortaya koymuştur” denilmektedir.
“Önemli eksiklikler kayda değer bir süre boyunca mevcuttu. Sellafield Ltd’nin bu yetersiz performansın devam etmesine izin verdiği, yani bilgi teknolojisi sistemlerinin yetkisiz erişime ve veri kaybına karşı savunmasız olduğu tespit edilmiştir.”
“Ancak, Sellafield Ltd’deki herhangi bir güvenlik açığının tespit edilen başarısızlıkların bir sonucu olarak istismar edildiğine dair bir kanıt bulunmamaktadır.”
ONR tarafından Sellafield‘de yapılan incelemeler, başarılı bir fidye yazılımı saldırısı senaryosunun nükleer sahadaki normal operasyonları 18 aya kadar raydan çıkarabileceğini ortaya koymuştur.
Sellafield, siber güvenlik risklerini mümkün olan en kısa sürede düzeltme planlarını uygulamak için geçtiğimiz yıl üst düzey liderlik ve BT yönetimindeki kilit kişileri değiştirdi. ONR‘ye göre bu konuda iyi bir ilerleme kaydedilmiştir.