近日英国核监管办公室(ONR)发布公告,宣布Sellafield核废料处理设施因未能遵守网络安全标准,被ONR罚款33.25万英镑。该设施在2019年至2023年期间未及时修补其IT系统中的多个漏洞,违反了《2003核工业安全条例》,使敏感的核信息面临风险。
尽管目前没有发现这些漏洞被利用的证据,但ONR表示,这些问题暴露了设施可能受到勒索软件、钓鱼攻击和数据泄露的风险,严重威胁核处理和退役工作的正常进行。
Sellafield位于英国坎布里亚郡,是欧洲最大的核废料处理设施之一,负责管理和处理大量放射性物质,包括钚和铀等。该设施对英国的核废料管理系统至关重要,因此其IT系统的安全性尤为重要。美国海军研究处对塞拉菲尔德核电站进行的检查显示,勒索软件攻击一旦成功,可能会导致核设施陷入长达18个月的瘫痪。
近年来,Sellafield的网络安全问题已多次被外界关注。2022年,《卫报》曾揭露,Sellafield的一些外部承包商可以轻松访问其关键系统,包括使用USB设备插入未受保护的计算机。此外,一些知名漏洞在设施内长期存在,给该核设施带来严重隐患,工作人员甚至给该设施起了个绰号“伏地魔”。
一份由法国安全公司Atos的审计报告显示,约75%的Sellafield服务器容易受到攻击,可能带来灾难性的后果。
今年6月,Sellafield的运营方承认其未能遵守标准的IT安全规定,并承认管理不当,导致严重漏洞长期存在。为此,ONR进行了深入调查,确认该设施在一段较长时间内未能按照其自身批准的网络安全计划行事,使其信息技术系统存在未授权访问和数据丢失的风险。
尽管Sellafield的漏洞尚未被外部攻击者利用,但该设施的安全问题已引起广泛关注,特别是在全球网络安全威胁日益增加的背景下。为了防范未来可能的网络攻击,Sellafield在过去一年更换了多个高级领导和IT管理人员,并已开始落实修复网络安全风险的计划。ONR对其改进措施表示认可,并认为该设施在弥补其网络安全漏洞方面取得了积极进展。
此次事件凸显了关键基础设施领域网络安全的重要性。对于像Sellafield这样处理高危核物质的设施,网络安全不仅关系到运营安全,还与国家安全息息相关。未来,加强对这些设施的网络安全审查与防护,将成为核管理部门的首要任务。
