Bl0ckch41nnewsPlanta de gestión de residuos nucleares se disculpa tras declararse culpable por fallos de ciberseguridad
Sellafield Ltd, la empresa encargada de gestionar una de las mayores
instalaciones nucleares de Europa, se ha declarado culpable de los cargos
relacionados con las deficiencias de ciberseguridad en las instalaciones.
La
instalación de Sellafield
se utilizaba para procesar y almacenar residuos nucleares y es uno de los
mayores almacenes de plutonio del mundo, en el que trabajan más de 10.000
personas de la zona de
Cumbria. La empresa se disculpó por sus deficiencias después de que el tribunal de
magistrados de Westminster se enfrentara a una serie de fallos de seguridad
que podrían haber amenazado la seguridad nacional del Reino Unido.
Varias investigaciones
sobre la postura de seguridad de la instalación revelaron
vulnerabilidades asombrosas
que expusieron la operación a una amplia gama de ciberataques potencialmente
devastadores.
Una
investigación de The Guardian
sobre la seguridad del sector nuclear descubrió que los contratistas de
Sellafield podían acceder fácilmente a sistemas críticos, y describió cómo un
contratista podía conectar una memoria USB al sistema informático de la
instalación sin supervisión.
La investigación también descubrió que muchos
miembros del personal que trabajaban en la planta de Sellafield se referían
a sus deficiencias cibernéticas como Voldemort,
ya que eran muy sensibles y peligrosas.
Además, un
informe
de la empresa de seguridad francesa Atos, subcontratista de la planta de
Sellafield, descubrió que el 75% de sus servidores eran vulnerables a ataques
cibernéticos.
La propia investigación de Sellafield, dirigida por la empresa de TI externa
Commissum, concluyó que
«cualquier atacante informático razonablemente hábil o persona
malintencionada podría acceder a datos confidenciales y cargar malware en la
red».
La Oficina de Regulación Nuclear (ONR) presentó cargos contra la empresa a
cargo de la instalación en junio, en relación con fallas de seguridad
criminales en el sitio durante cuatro años entre 2019 y 2023.
Nigel Lawrence KC, en representación de la ONR, destacó la mala gobernanza de
TI de la organización, explicando al tribunal que
«era posible descargar y ejecutar archivos maliciosos en las redes del
sitio a través de un ataque de phishing sin hacer sonar ninguna alarma.»
En declaraciones a ITPro, Mark Flynn, experto en ciberseguridad de Computer
Care, dijo que estaba sorprendido por el nivel de negligencia mostrado por los
encargados de administrar la instalación.
«Los fallos de ciberseguridad en Sellafield son nada menos que
catastróficos. Que una instalación de tanta importancia nacional tenga el
75% de sus servidores vulnerables a ataques cibernéticos es más que una
negligencia: es un desastre a punto de ocurrir», advirtió.
El uso de tecnología obsoleta como Windows 7 y Windows 2008 en una instalación
nuclear es particularmente alarmante. Estos sistemas ya no cuentan con
actualizaciones de seguridad, lo que los deja totalmente expuestos a la
explotación.
«Es como dejar las llaves del reino bajo el felpudo y esperar que nadie se
dé cuenta».
Flynn agregó que lo que encontró más preocupante fue el tiempo que estas
debilidades no se abordaron.
«Lo que es más preocupante es la duración de estas vulnerabilidades. Cuatro
años es una eternidad en términos de ciberseguridad. El hecho de que
información nuclear sensible haya estado expuesta durante tanto tiempo
sugiere una cultura de complacencia que no tiene lugar en un entorno de
tanto riesgo», explicó.
«La posibilidad de que se descarguen y ejecuten archivos maliciosos en las
redes de Sellafield sin que se active ninguna alarma es francamente
aterradora. Este nivel de vulnerabilidad en un sitio que alberga el mayor
depósito de plutonio del mundo es inaceptable y supone una amenaza
importante para la seguridad nacional».
Las capacidades cibernéticas de Sellafield deben reconstruirse por completo,
argumentó Flynn, afirmando que las empresas del Reino Unido deben tratar este
caso como una «llamada de atención» para reevaluar su postura defensiva.
«De cara al futuro, Sellafield necesita una revisión completa de su cultura
de ciberseguridad. Esto significa pruebas de penetración periódicas,
monitoreo continuo y un enfoque proactivo para identificar y mitigar
vulnerabilidades. La dirección debe priorizar la ciberseguridad en todos los
niveles de la organización y asegurarse de que se trate con la urgencia e
importancia que exige», afirmó.
Sellafield Ltd se declaró culpable de los cargos presentados por la ONR, y
Euan Hutton, director ejecutivo de la planta, se disculpó por sus errores en
una declaración escrita. Paul Greaney KC, representante de la empresa, señaló
que la compañía había hecho algunos esfuerzos para abordar sus flagrantes
deficiencias de seguridad. Esto incluyó cambiar la gestión de TI en el sitio,
así como crear un nuevo centro de datos seguro para alojar los datos
confidenciales de la instalación.
Añadió que la fiscalía había exagerado innecesariamente las fallas de
seguridad en Sellafield, argumentando que había «acelerado» los problemas y
rechazó las afirmaciones de la ONR de que los problemas eran el resultado de
medidas de ahorro de costos.
Fuente:
ITPro
Los comentarios están cerrados.