Sellafield Ltd, la empresa encargada de gestionar una de las mayores instalaciones nucleares de Europa, se ha declarado culpable de los cargos relacionados con las deficiencias de ciberseguridad en las instalaciones.

La instalación de Sellafield se utilizaba para procesar y almacenar residuos nucleares y es uno de los mayores almacenes de plutonio del mundo, en el que trabajan más de 10.000 personas de la zona de Cumbria. La empresa se disculpó por sus deficiencias después de que el tribunal de magistrados de Westminster se enfrentara a una serie de fallos de seguridad que podrían haber amenazado la seguridad nacional del Reino Unido.

Varias investigaciones sobre la postura de seguridad de la instalación revelaron vulnerabilidades asombrosas que expusieron la operación a una amplia gama de ciberataques potencialmente devastadores.

Una investigación de The Guardian sobre la seguridad del sector nuclear descubrió que los contratistas de Sellafield podían acceder fácilmente a sistemas críticos, y describió cómo un contratista podía conectar una memoria USB al sistema informático de la instalación sin supervisión.

La investigación también descubrió que muchos miembros del personal que trabajaban en la planta de Sellafield se referían a sus deficiencias cibernéticas como Voldemort, ya que eran muy sensibles y peligrosas.

Además, un informe de la empresa de seguridad francesa Atos, subcontratista de la planta de Sellafield, descubrió que el 75% de sus servidores eran vulnerables a ataques cibernéticos.

La propia investigación de Sellafield, dirigida por la empresa de TI externa Commissum, concluyó que "cualquier atacante informático razonablemente hábil o persona malintencionada podría acceder a datos confidenciales y cargar malware en la red".

La Oficina de Regulación Nuclear (ONR) presentó cargos contra la empresa a cargo de la instalación en junio, en relación con fallas de seguridad criminales en el sitio durante cuatro años entre 2019 y 2023.

Nigel Lawrence KC, en representación de la ONR, destacó la mala gobernanza de TI de la organización, explicando al tribunal que "era posible descargar y ejecutar archivos maliciosos en las redes del sitio a través de un ataque de phishing sin hacer sonar ninguna alarma."

En declaraciones a ITPro, Mark Flynn, experto en ciberseguridad de Computer Care, dijo que estaba sorprendido por el nivel de negligencia mostrado por los encargados de administrar la instalación. "Los fallos de ciberseguridad en Sellafield son nada menos que catastróficos. Que una instalación de tanta importancia nacional tenga el 75% de sus servidores vulnerables a ataques cibernéticos es más que una negligencia: es un desastre a punto de ocurrir", advirtió.

El uso de tecnología obsoleta como Windows 7 y Windows 2008 en una instalación nuclear es particularmente alarmante. Estos sistemas ya no cuentan con actualizaciones de seguridad, lo que los deja totalmente expuestos a la explotación. "Es como dejar las llaves del reino bajo el felpudo y esperar que nadie se dé cuenta".

Flynn agregó que lo que encontró más preocupante fue el tiempo que estas debilidades no se abordaron. "Lo que es más preocupante es la duración de estas vulnerabilidades. Cuatro años es una eternidad en términos de ciberseguridad. El hecho de que información nuclear sensible haya estado expuesta durante tanto tiempo sugiere una cultura de complacencia que no tiene lugar en un entorno de tanto riesgo", explicó.

"La posibilidad de que se descarguen y ejecuten archivos maliciosos en las redes de Sellafield sin que se active ninguna alarma es francamente aterradora. Este nivel de vulnerabilidad en un sitio que alberga el mayor depósito de plutonio del mundo es inaceptable y supone una amenaza importante para la seguridad nacional".

Las capacidades cibernéticas de Sellafield deben reconstruirse por completo, argumentó Flynn, afirmando que las empresas del Reino Unido deben tratar este caso como una "llamada de atención" para reevaluar su postura defensiva.

"De cara al futuro, Sellafield necesita una revisión completa de su cultura de ciberseguridad. Esto significa pruebas de penetración periódicas, monitoreo continuo y un enfoque proactivo para identificar y mitigar vulnerabilidades. La dirección debe priorizar la ciberseguridad en todos los niveles de la organización y asegurarse de que se trate con la urgencia e importancia que exige", afirmó.

Sellafield Ltd se declaró culpable de los cargos presentados por la ONR, y Euan Hutton, director ejecutivo de la planta, se disculpó por sus errores en una declaración escrita. Paul Greaney KC, representante de la empresa, señaló que la compañía había hecho algunos esfuerzos para abordar sus flagrantes deficiencias de seguridad. Esto incluyó cambiar la gestión de TI en el sitio, así como crear un nuevo centro de datos seguro para alojar los datos confidenciales de la instalación.

Añadió que la fiscalía había exagerado innecesariamente las fallas de seguridad en Sellafield, argumentando que había "acelerado" los problemas y rechazó las afirmaciones de la ONR de que los problemas eran el resultado de medidas de ahorro de costos.

Fuente: ITPro