近日英國(guó)核監(jiān)管辦公室(ONR)發(fā)布公告，宣布Sellafield核廢料處理設(shè)施因未能遵守網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，被ONR罰款33.25萬(wàn)英鎊。該設(shè)施在2019年至2023年期間未及時(shí)修補(bǔ)其IT系統(tǒng)中的多個(gè)漏洞，違反了《2003核工業(yè)安全條例》，使敏感的核信息面臨風(fēng)險(xiǎn)。

盡管目前沒(méi)有發(fā)現(xiàn)這些漏洞被利用的證據(jù)，但ONR表示，這些問(wèn)題暴露了設(shè)施可能受到勒索軟件、釣魚(yú)攻擊和數(shù)據(jù)泄露的風(fēng)險(xiǎn)，嚴(yán)重威脅核處理和退役工作的正常進(jìn)行。

Sellafield位于英國(guó)坎布里亞郡，是歐洲最大的核廢料處理設(shè)施之一，負(fù)責(zé)管理和處理大量放射性物質(zhì)，包括钚和鈾等。該設(shè)施對(duì)英國(guó)的核廢料管理系統(tǒng)至關(guān)重要，因此其IT系統(tǒng)的安全性尤為重要。美國(guó)海軍研究處對(duì)塞拉菲爾德核電站進(jìn)行的檢查顯示，勒索軟件攻擊一旦成功，可能會(huì)導(dǎo)致核設(shè)施陷入長(zhǎng)達(dá)18個(gè)月的癱瘓。

近年來(lái)，Sellafield的網(wǎng)絡(luò)安全問(wèn)題已多次被外界關(guān)注。2022年，《衛(wèi)報(bào)》曾揭露，Sellafield的一些外部承包商可以輕松訪(fǎng)問(wèn)其關(guān)鍵系統(tǒng)，包括使用USB設(shè)備插入未受保護(hù)的計(jì)算機(jī)。此外，一些知名漏洞在設(shè)施內(nèi)長(zhǎng)期存在，給該核設(shè)施帶來(lái)嚴(yán)重隱患，工作人員甚至給該設(shè)施起了個(gè)綽號(hào)“伏地魔”。

一份由法國(guó)安全公司Atos的審計(jì)報(bào)告顯示，約75%的Sellafield服務(wù)器容易受到攻擊，可能帶來(lái)災(zāi)難性的后果。

今年6月，Sellafield的運(yùn)營(yíng)方承認(rèn)其未能遵守標(biāo)準(zhǔn)的IT安全規(guī)定，并承認(rèn)管理不當(dāng)，導(dǎo)致嚴(yán)重漏洞長(zhǎng)期存在。為此，ONR進(jìn)行了深入調(diào)查，確認(rèn)該設(shè)施在一段較長(zhǎng)時(shí)間內(nèi)未能按照其自身批準(zhǔn)的網(wǎng)絡(luò)安全計(jì)劃行事，使其信息技術(shù)系統(tǒng)存在未授權(quán)訪(fǎng)問(wèn)和數(shù)據(jù)丟失的風(fēng)險(xiǎn)。

盡管Sellafield的漏洞尚未被外部攻擊者利用，但該設(shè)施的安全問(wèn)題已引起廣泛關(guān)注，特別是在全球網(wǎng)絡(luò)安全威脅日益增加的背景下。為了防范未來(lái)可能的網(wǎng)絡(luò)攻擊，Sellafield在過(guò)去一年更換了多個(gè)高級(jí)領(lǐng)導(dǎo)和IT管理人員，并已開(kāi)始落實(shí)修復(fù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的計(jì)劃。ONR對(duì)其改進(jìn)措施表示認(rèn)可，并認(rèn)為該設(shè)施在彌補(bǔ)其網(wǎng)絡(luò)安全漏洞方面取得了積極進(jìn)展。

此次事件凸顯了關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域網(wǎng)絡(luò)安全的重要性。對(duì)于像Sellafield這樣處理高危核物質(zhì)的設(shè)施，網(wǎng)絡(luò)安全不僅關(guān)系到運(yùn)營(yíng)安全，還與國(guó)家安全息息相關(guān)。未來(lái)，加強(qiáng)對(duì)這些設(shè)施的網(wǎng)絡(luò)安全審查與防護(hù)，將成為核管理部門(mén)的首要任務(wù)。