Britisk atom-anlæg får millionbøde for elendig it-sikkerhed

Annonceindlæg fra Arrow ECS

Copilot: Din digitale assistent eller en sikkerhedstrussel?

Stor bekymring hos IT og compliance – men Copilot er IKKE problemet

Håndterer man dagligt store mængder farligt atom-affald er det en rigtig dårlig ide at have elendig it-sikkerhed.

Sådan lyder budskabet mere eller mindre fra britiske Office for Nuclear Regulation - i daglig tale ONR - som netop har tildelt det omstridte atom-anlæg Sellafield en bøde på 332.500 britiske pund - omkring tre millioner kroner.

Årsag: Sellafield har fra 2019 til 2023 haft elendig it-sikkerhed - og været fuldt ud klar over det.

Sellafield var fra 1956 til 2003 atomkraft-værk og har i de seneste år haft håndtering og bortskaffelse og opbevaring af atomaffald som sin hovedopgave.

På dette område er anlægget det største i verden, da intet andet anlæg håndterer så store mængder radioaktive materialer.

Anlægget blev verdenskendt i 1957, da der på grund af en brand skete et alvorligt udslip af radioaktive materialer, som forårsagede flere hundrede dødsfald i området.

Trods sin dagligdag med store mængder dødsensfarlige materialer, har cybersikkerheden været særdeles mangelfuld, lyder det fra ONR.

Atom-anlæggets it-systemer har således i høj frad været eksponerede og sårbare over for data-tyveri og indtrængende hackere, som ifølge ONR har haft ret nemt ved at trænge ind i systemerne.

Det har ingen dog gjort, lyder det fra ONR, som i hvert fald peger på, at der er ikke er nogen beviser for, at sårbarheder i Sellafield er blevet udnyttet som følge af de identificerede fejl,” lyder det fra ONR.

Myndigheden peger dog samtidig på, at Sellafield har kendt til fejlene og den mangelfulde it-sikkerhed i ‘et betydeligt tidsrum.’

“Men på trods af vores indsigelser og vejledning, har Sellafield forsømt at reagere på en effektiv måde, hvilket har efterladt [anlægget, red] sårbart overfor sikkerheds-brud og kompromittering af it-systemerne,” hedder det.

Der gik i 2023 historier om, at Sellafield var blevet hacket af russiske eller kinesiske hackere, som havde plantet malware.

Dengang benægtede både Sellafield, ONR og de britiske myndigheder, at det skulle have været tilfældet.

Ifølge Register blev der dog iværksat en undersøgelse, som viste, at det ville tage helt op til 18 måneder for Sellafield at komme på højkant, hvis nu anlægget skulle blive hacket.

En intern rapport viste samtidig, at Sellafields systemer var blevet ramt af et succesfuldt phishing-angreb, som i nogen grad havde forsinket selskabets processer.

Sellafield erkendte i juni åbent, at selskabet ikke havde ordentlig it-sikkerhed og ikke havde fulgt sine egne it-sikkerhedsprocedurer.