圖：衛(wèi)報(bào)設(shè)計(jì)/Alamy

英國(guó)塞拉菲爾德核設(shè)施承認(rèn)違規(guī)行為可能威脅國(guó)家安全，目前正等待最終判決，這是首個(gè)因IT安全問題被起訴的核設(shè)施。

安全內(nèi)參8月14日消息，英國(guó)最危險(xiǎn)的核設(shè)施——塞拉菲爾德(Sellafield)因一系列網(wǎng)絡(luò)安全失誤面臨刑事指控。近日，該公司對(duì)相關(guān)指控表示認(rèn)罪，并承認(rèn)其失誤可能對(duì)國(guó)家安全構(gòu)成威脅。

倫敦威斯敏斯特地方法院獲悉，這個(gè)位于坎布里亞的大型核廢料堆場(chǎng)中，75%的計(jì)算機(jī)服務(wù)器都易受網(wǎng)絡(luò)攻擊。

塞拉菲爾德是一個(gè)龐大的核廢料堆場(chǎng)，儲(chǔ)存著核武器制造及幾十年來核電站發(fā)電產(chǎn)生的廢料。該設(shè)施擁有約1.1萬名員工，隸屬于由納稅人所有并資助的核退役管理局。

塞拉菲爾德發(fā)生一系列嚴(yán)重IT失誤

英國(guó)核監(jiān)管機(jī)構(gòu)透露，有可能威脅國(guó)家安全的信息被暴露了長(zhǎng)達(dá)四年之久，而塞拉菲爾德聲稱一直在進(jìn)行關(guān)鍵的IT健康檢查，實(shí)際上這些檢查并未進(jìn)行。

去年年底，英媒《衛(wèi)報(bào)》通過“核泄漏”調(diào)查揭示，這家國(guó)有公司在過去幾年中發(fā)生了一系列IT失誤，面臨放射性污染，且其工作文化“有毒”。

《衛(wèi)報(bào)》的調(diào)查還曝光了其他嚴(yán)重問題。例如，外部承包商在無人監(jiān)督的情況下能夠?qū)盤插入塞拉菲爾德的系統(tǒng)。此外，該核設(shè)施的計(jì)算機(jī)服務(wù)器極度不安全。由于其敏感性和危險(xiǎn)性，這個(gè)問題甚至被戲稱為《哈利·波特》故事中的“伏地魔”。

塞拉菲爾德在今年6月承認(rèn)了由核監(jiān)管辦公室(ONR)提出的指控，這些指控涉及2019年至2023年間的一系列信息技術(shù)安全違規(guī)行為。

目前，該公司正在等待最終判決。首席法官Paul Goldspring表示，判決將在幾周內(nèi)做出。核監(jiān)管辦公室表示，預(yù)計(jì)判決將在9月進(jìn)行。

庭審暴露塞拉菲爾德的IT脆弱狀況

在8月8日舉行的判決聽證會(huì)上，法院聽取了核監(jiān)管辦公室代理律師Nigel Lawrence KC所陳述的情況：一項(xiàng)測(cè)試發(fā)現(xiàn)，可以通過網(wǎng)絡(luò)釣魚攻擊將惡意文件下載并執(zhí)行到塞拉菲爾德的IT網(wǎng)絡(luò)，而“不會(huì)觸發(fā)任何警報(bào)”。

Lawrence律師援引該地分包商Atos的報(bào)告指出，這個(gè)全球最大的钚儲(chǔ)存場(chǎng)對(duì)內(nèi)外部網(wǎng)絡(luò)攻擊都極為脆弱，其75%的服務(wù)器不安全。

塞拉菲爾德外部IT公司Commissum的報(bào)告也指出，任何“技術(shù)熟練的黑客或惡意內(nèi)部人員”都可以訪問敏感數(shù)據(jù)并植入惡意軟件(計(jì)算機(jī)代碼)，這些代碼可用于竊取信息。

塞拉菲爾德的代理律師Paul Greaney KC代表公司引用了一份書面證人聲明，表明首席執(zhí)行官Euan Hutton對(duì)數(shù)年來的失誤表示歉意。Hutton表示：“我再次代表公司為導(dǎo)致這些訴訟的事件道歉……我真誠(chéng)地相信，導(dǎo)致此次起訴的問題已經(jīng)成為過去?！?/span>

Hutton本人出席了聽證會(huì)，但未在會(huì)上發(fā)言。

Greaney律師表示，公司試圖通過更換該地點(diǎn)的IT管理層并建立一個(gè)新的安全數(shù)據(jù)中心來解決其網(wǎng)絡(luò)安全問題。該律師還表示，近年來發(fā)現(xiàn)的一些問題被檢方 “火上澆油”。這些失誤并非出于節(jié)約成本的考慮。他補(bǔ)充道：“我們沒有摳門?！?/span>

法院還獲悉，一個(gè)分包商錯(cuò)誤地接收了4000個(gè)文件，其中13個(gè)被歸類為“官方/敏感”文件，但并未觸發(fā)任何警報(bào)。

Lawrence律師指出，由于使用Windows 7和Windows 2008等“過時(shí)”技術(shù)，該行業(yè)的特殊分類系統(tǒng)敏感核信息(SNI)部分被暴露SNI是一種分類信息的方式，可能涉及國(guó)家安全，在法律上具有特殊地位，類似于英國(guó)安全部門或公務(wù)員處理的其他機(jī)密材料。核監(jiān)管辦公室規(guī)定，如果信息被認(rèn)為“對(duì)計(jì)劃實(shí)施敵對(duì)行為的對(duì)手有價(jià)值”，則會(huì)被授予SNI狀態(tài)。

各方均表示這些失誤非常嚴(yán)重。首席法官Paul Goldspring表示，他需要在權(quán)衡納稅人負(fù)擔(dān)的同時(shí)，確保對(duì)該行業(yè)其他人起到震懾作用，防止他們犯下類似罪行。

首個(gè)因IT安全被起訴的核設(shè)施

法官表示，此次判決對(duì)所有人來說都是“全新的領(lǐng)域”，因?yàn)榇饲皬奈从泻嗽O(shè)施因類似問題被起訴過。

英國(guó)的公共支出監(jiān)察機(jī)構(gòu)國(guó)家審計(jì)署今年啟動(dòng)了對(duì)塞拉菲爾德成本和風(fēng)險(xiǎn)的調(diào)查。

《衛(wèi)報(bào)》去年報(bào)道，該設(shè)施的系統(tǒng)在去年12月被與俄羅斯等國(guó)有關(guān)的團(tuán)體入侵，植入了可能潛伏并用于間諜或攻擊系統(tǒng)的“沉睡”(sleeper)惡意軟件。

當(dāng)時(shí)，塞拉菲爾德表示，沒有證據(jù)表明網(wǎng)絡(luò)攻擊得逞。Greaney律師告訴法院，沒有發(fā)現(xiàn)針對(duì)塞拉菲爾德的“有效”網(wǎng)絡(luò)攻擊的證據(jù)。法院得知，塞拉菲爾德的操作中心被發(fā)現(xiàn)“無法對(duì)測(cè)試攻擊做出適當(dāng)?shù)膱?bào)警和響應(yīng)”。

一位公司發(fā)言人表示：“塞拉菲爾德非常重視網(wǎng)絡(luò)安全，這從我們的認(rèn)罪中可以體現(xiàn)出來。這些指控涉及歷史性違規(guī)行為，并無任何暗示公共安全受到威脅?！薄叭茽柕虏⑽丛馐艹晒Φ木W(wǎng)絡(luò)攻擊，也未丟失任何敏感核信息。我們已經(jīng)對(duì)我們的系統(tǒng)、網(wǎng)絡(luò)和結(jié)構(gòu)進(jìn)行了重大改進(jìn)，以確保我們獲得更好的保護(hù)和更強(qiáng)的彈性?！?/span>

核監(jiān)管辦公室拒絕發(fā)表評(píng)論。塞拉菲爾德已同意支付5.3萬英鎊的法律費(fèi)用。

參考資料：theguardian.com

來源：安全內(nèi)參