Sellafield Ltd ha recibido una multa de 332.500 libras esterlinas (437.440 dólares) por fallos de ciberseguridad en la instalación nuclear de Sellafield en Cumbria, noroeste de Inglaterra. La multa fue emitida por el Tribunal de Magistrados de Westminster tras una demanda iniciada por la Oficina de Regulación Nuclear (ONR), el regulador nuclear independiente del Reino Unido. También se ha ordenado a Sellafield Ltd que pague las costas del proceso por valor de 53.253,20 libras esterlinas (70.060 dólares). Los delitos se relacionan con la gestión por parte de Sellafield de la seguridad de sus sistemas de tecnología de la información entre 2019 y 2023 y las infracciones del Reglamento de Seguridad de las Industrias Nucleares de 2003. En una audiencia celebrada en junio de 2024, Sellafield se declaró culpable de todos los cargos presentados por la ONR, que incluían la siguientes delitos: Incumplimiento de su plan de seguridad aprobado al no garantizar que hubiera una protección adecuada de la información nuclear sensible en su red de tecnología de la información el 18 de marzo de 2023 o antes Incumplimiento de su plan de seguridad aprobado al no organizar controles sanitarios anuales que será realizado en sus sistemas de tecnología operativa por un probador de esquema de verificación autorizado a más tardar el 19 de marzo de 2023. Incumplimiento de su plan de seguridad aprobado al no disponer que un probador de esquema de verificación autorizado realice controles de salud anuales en sus sistemas de tecnología de la información el 1 de marzo de 2022 y antes, Sellafield es uno de los complejos industriales más grandes de Europa y gestiona más residuos radiactivos que cualquier otra instalación nuclear del mundo. El ataque podría haber interrumpido las operaciones y expuesto datos confidenciales Un ciberataque exitoso podría haber tenido graves consecuencias para la planta nuclear como resultado de las fallas de Sellafield Ltd. Esto incluyó la interrupción de las operaciones de la planta nuclear, instalaciones dañadas, retrasos en el desmantelamiento y la pérdida o compromiso de sistemas de datos clave. Una inspección de 2023 concluyó que un ataque de ransomware exitoso podría afectar importantes trabajos de reducción de riesgos de alto riesgo en el sitio, y la recuperación completa de las operaciones de TI demoraría hasta 18 meses. Además, las simulaciones internas demostraron cómo un ataque de phishing exitoso o un usuario interno malicioso podría desencadenar violaciones de datos confidenciales. No hay evidencia de que alguna de las vulnerabilidades de ciberseguridad identificadas en Sellafield haya sido explotada por actores de amenazas. Lea ahora: Reino Unido establece una estrategia de ciberseguridad nuclear Paul Fyfe, director senior de regulación de la ONR, señaló que Sellafield estaba consciente de sus fallas de ciberseguridad durante un «período de tiempo considerable», pero no respondió de manera efectiva. «Sin embargo, con un nuevo liderazgo y recursos adicionales implementados en Sellafield Ltd, hemos visto mejoras positivas durante el último año y evidencia de que el liderazgo superior ahora está brindando a la seguridad cibernética el nivel de atención y enfoque que requiere», comentó Fyfe. «Continuaremos aplicando un riguroso escrutinio regulatorio cuando sea necesario para garantizar que todos los riesgos, incluida la seguridad cibernética, sean gestionados eficazmente por la industria nuclear», añadió. En respuesta al fallo, el director de medios de Sellafield Ltd, Matt Legg, enfatizó que los cargos estaban relacionados con delitos históricos. «Ya hemos realizado mejoras significativas en nuestros sistemas, redes y estructuras para garantizar que estemos mejor protegidos y sean más resilientes», dijo.