图:卫报设计/Alamy
英国塞拉菲尔德核设施承认违规行为可能威胁国家安全,目前正等待最终判决,这是首个因IT安全问题被起诉的核设施。
8月14日消息,英国最危险的核设施——塞拉菲尔德(Sellafield)因一系列网络安全失误面临刑事指控。近日,该公司对相关指控表示认罪,并承认其失误可能对国家安全构成威胁。
伦敦威斯敏斯特地方法院获悉,这个位于坎布里亚的大型核废料堆场中,75%的计算机服务器都易受网络攻击。
塞拉菲尔德是一个庞大的核废料堆场,储存着核武器制造及几十年来核电站发电产生的废料。该设施拥有约1.1万名员工,隶属于由纳税人所有并资助的核退役管理局。
英国核监管机构透露,有可能威胁国家安全的信息被暴露了长达四年之久,而塞拉菲尔德声称一直在进行关键的IT健康检查,实际上这些检查并未进行。
去年年底,英媒《卫报》通过“核泄漏”调查揭示,这家国有公司在过去几年中发生了一系列IT失误,面临放射性污染,且其工作文化“有毒”。
《卫报》的调查还曝光了其他严重问题。例如,外部承包商在无人监督的情况下能够将U盘插入塞拉菲尔德的系统。此外,该核设施的计算机服务器极度不安全。由于其敏感性和危险性,这个问题甚至被戏称为《哈利·波特》故事中的“伏地魔”。
塞拉菲尔德在今年6月承认了由核监管办公室(ONR)提出的指控,这些指控涉及2019年至2023年间的一系列信息技术安全违规行为。
目前,该公司正在等待最终判决。首席法官Paul Goldspring表示,判决将在几周内做出。核监管办公室表示,预计判决将在9月进行。
在8月8日举行的判决听证会上,法院听取了核监管办公室代理律师Nigel Lawrence KC所陈述的情况:一项测试发现,可以通过网络钓鱼攻击将恶意文件下载并执行到塞拉菲尔德的IT网络,而“不会触发任何警报”。
Lawrence律师援引该地分包商Atos的报告指出,这个全球最大的钚储存场对内外部网络攻击都极为脆弱,其75%的服务器不安全。
塞拉菲尔德外部IT公司Commissum的报告也指出,任何“技术熟练的黑客或恶意内部人员”都可以访问敏感数据并植入恶意软件(计算机代码),这些代码可用于窃取信息。
塞拉菲尔德的代理律师Paul Greaney KC代表公司引用了一份书面证人声明,表明首席执行官Euan Hutton对数年来的失误表示歉意。Hutton表示:“我再次代表公司为导致这些诉讼的事件道歉……我真诚地相信,导致此次起诉的问题已经成为过去。”
Hutton本人出席了听证会,但未在会上发言。
Greaney律师表示,公司试图通过更换该地点的IT管理层并建立一个新的安全数据中心来解决其网络安全问题。该律师还表示,近年来发现的一些问题被检方 “火上浇油”。这些失误并非出于节约成本的考虑。他补充道:“我们没有抠门。”
法院还获悉,一个分包商错误地接收了4000个文件,其中13个被归类为“官方/敏感”文件,但并未触发任何警报。
Lawrence律师指出,由于使用Windows 7和Windows 2008等“过时”技术,该行业的特殊分类系统敏感核信息(SNI)部分被暴露
SNI是一种分类信息的方式,可能涉及国家安全,在法律上具有特殊地位,类似于英国安全部门或公务员处理的其他机密材料。核监管办公室规定,如果信息被认为“对计划实施敌对行为的对手有价值”,则会被授予SNI状态。
各方均表示这些失误非常严重。首席法官Paul Goldspring表示,他需要在权衡纳税人负担的同时,确保对该行业其他人起到震慑作用,防止他们犯下类似罪行。
法官表示,此次判决对所有人来说都是“全新的领域”,因为此前从未有核设施因类似问题被起诉过。
英国的公共支出监察机构国家审计署今年启动了对塞拉菲尔德成本和风险的调查。
《卫报》去年报道,该设施的系统在去年12月被与俄罗斯等国有关的团体入侵,植入了可能潜伏并用于间谍或攻击系统的“沉睡”(sleeper)恶意软件。
当时,塞拉菲尔德表示,没有证据表明网络攻击得逞。Greaney律师告诉法院,没有发现针对塞拉菲尔德的“有效”网络攻击的证据。法院得知,塞拉菲尔德的操作中心被发现“无法对测试攻击做出适当的报警和响应”。
一位公司发言人表示:“塞拉菲尔德非常重视网络安全,这从我们的认罪中可以体现出来。这些指控涉及历史性违规行为,并无任何暗示公共安全受到威胁。”
“塞拉菲尔德并未遭受成功的网络攻击,也未丢失任何敏感核信息。我们已经对我们的系统、网络和结构进行了重大改进,以确保我们获得更好的保护和更强的弹性。”
核监管办公室拒绝发表评论。塞拉菲尔德已同意支付5.3万英镑的法律费用。
参考资料:
theguardian.com