قال مركز أبحاث تشام هاوس البريطاني إن تحقيق أجرته صحيفة الغارديان مؤخرًا يزعم أن موقع سيلافيلد لإدارة النفايات النووية في المملكة المتحدة قد تعرض للعديد من انتهاكات الأمن السيبراني على مر السنين.
هذه الانتهاكات المزعومة واسعة النطاق، بما في ذلك شبكة خوادم غير آمنة والتي وفقًا لصحيفة الغارديان، تمكن المتسللون من الوصول إليها لسنوات. تم أيضًا تحديد ممارسات العمل غير الآمنة الأخرى المزعومة، مثل قدرة المقاولين على توصيل وحدات USB بالنظام دون إشراف عند صيانته.
في حين قال رد حكومة المملكة المتحدة إنه لا يوجد دليل على حدوث اختراق من قبل جهات حكومية، فقد وضع مكتب التنظيم النووي (ONR) سيلافيلد تحت “اهتمام تنظيمي معزز بشكل كبير” لأنه لم يكن راضيًا عن معايير الأمن السيبراني في الموقع.
سيلافيلد ليس الموقع النووي الوحيد في المملكة المتحدة الذي حصل على هذه العلامة مؤخرًا. في وقت سابق من هذا العام، تم أيضًا وضع شركة الطاقة EDF، التي تدير خمسًا من محطات الطاقة النووية النشطة في المملكة المتحدة، بالإضافة إلى ثلاث محطات تم إيقاف تشغيلها، تحت “اهتمام تنظيمي معزز بشكل كبير” بسبب ممارسات الأمن السيبراني.
لم يكن ONR راضيًا عن معايير الأمن السيبراني في العديد من محطات الطاقة النووية التابعة لشركة EDF وسيحتاج إلى رؤية تحسينات في التفتيش التالي لتغيير وضع الشركة إلى وضع أقل خطورة. تم تنبيه EDF بالفعل في عام 2022 بأنها ستحتاج إلى ترقية ممارسات الأمن السيبراني لمحطات الطاقة النووية ولكنها لم ترقى إلى مستوى توقعات ONR.
من المخيب للآمال أن نرى مشكلات كبيرة تتعلق بالأمن السيبراني لا تزال موجودة في الصناعة النووية في المملكة المتحدة. كانت الصناعة النووية عمومًا متأخرة نسبيًا في الحديث عن الأمن السيبراني، كما أوضح بحث سابق لمعهد تشاتام هاوس، وهذه ليست محادثة جديدة بأي حال من الأحوال.
المخاوف بشأن الأمن السيبراني موجودة منذ عقود. بسبب تركيز الصناعة النووية القوي على الأمن المادي، وحقيقة أن الكثير من برمجيات التحكم المستخدمة في محطات الطاقة النووية كانت في البداية مخصصة أو تم توزيعها فقط على عدد صغير من المرافق المتخصصة، كان هناك شعور في جميع أنحاء الصناعة بأنه كان إدارة مخاطر الأمن السيبراني بشكل مناسب.
ولكن مع انتشار استخدام أنظمة تكنولوجيا المعلومات على نطاق أوسع، وتضمنت التحديثات حزم البرمجيات الجاهزة، لم تتمكن ممارسات الأمن السيبراني في الصناعة النووية من مواكبة الوتيرة.
أصدرت الوكالة الدولية للطاقة الذرية مجموعة من التوصيات والمعايير التي يجب على الدول الالتزام بها، ولكن تنفيذها متروك لكل حكومة على حدة. وهذا يعني أن معيار الأمن السيبراني للمواقع النووية يتم تطبيقه بشكل غير متساوٍ، اعتمادًا على وعي وقدرات الحكومة والمشغلين.
وقد يكون لهذا عواقب بعيدة المدى. في سيلافيلد، تتضمن ادعاءات الغارديان مخاوف من أن المتسللين تمكنوا من الوصول إلى معلومات حول إدارة المواد النووية في المملكة المتحدة وغيرها من البيانات الحساسة.
التهديدات الأمنية
يمكن أن يكون للانتهاكات الأمنية المزعومة آثار أمنية طويلة المدى على المملكة المتحدة والأمن النووي، اعتمادًا على نوع البيانات التي ربما تمكن المتسللون من الوصول إليها.
ومن الممكن أن يمنح الوصول الرقمي إلى البنية التحتية لتكنولوجيا المعلومات السيطرة المادية على الأنظمة، كما كانت الحال في هجوم ستوكسنت على أجهزة الطرد المركزي النووية في إيران.
على الرغم من أنه من غير المحتمل إلى حد كبير في المملكة المتحدة، بسبب تدابير السلامة المعمول بها، فإن مثل هذا الهجوم يمكن أن يؤدي إلى حادث يمكن أن يؤدي إلى إطلاق الإشعاع، مما يتسبب في ضرر لصحة الناس وتلويث البيئة.
هناك أيضًا مخاطر تعطيل إمدادات الطاقة في المملكة المتحدة إذا استهدف الهجوم محطة للطاقة النووية، وتهديد المتسللين الذين يحتفظون ببيانات أو معلومات حساسة أخرى للحصول على فدية.
وتدرك استراتيجية المملكة المتحدة النووية المدنية السيبرانية 2022 هذه المخاطر وتضع خطة لمعالجتها، ولكن الإطار الزمني حتى عام 2026 يبدو سخيا للغاية نظرا لأن العديد من هذه المخاطر كانت معروفة منذ سنوات وكان ينبغي تخفيفها قبل سنوات.
ومع توقع نمو القطاع النووي في المملكة المتحدة من حيث الحجم والأهمية بسبب الالتزامات الصافية الصفرية، فإن هذا مجال ملح للتحسين.
إجراءات بسيطة وعاجلة لهذه الصناعة
بعض الخطوات البسيطة تعتبر بالفعل من أفضل الممارسات ويمكن اتخاذها بشكل أسرع بكثير مما يمكن القيام به خلال السنوات الأربع القادمة.
من شأن تقييمات نضج الأمن السيبراني وتحليل PEST كما هو مستخدم في القطاعات الأخرى، أن تساعد شركات التأمين والهيئات التنظيمية ضد المخاطر النووية على التأكد من فعالية الاستجابات للتهديدات السيبرانية.
ومن شأن المزيد من الشفافية أن يساعد أيضاً. من الصعب جدًا معرفة ما يحدث بالضبط في سيلافيلد، أو في مواقع EDF في ظل اهتمام ONR المعزز بشكل كبير: لا تميل تقارير ONR إلى الخوض في تفاصيل مهمة، بخلاف الإشارة إلى ما إذا تم الوصول إلى معايير الأمن السيبراني أم لا.
قد يكون من المفيد النظر إلى الصناعات الأخرى التي خطت خطوات كبيرة للأمام في مجال الأمن السيبراني ومعرفة الحلول التي يمكن تطبيقها بسرعة عبر الصناعة النووية في المملكة المتحدة.
على الرغم من أنها لا تشارك نفس تحديات المواد التي تواجهها الصناعة النووية، فقد استثمرت صناعة التمويل بكثافة في ممارسات الأمن السيبراني ويمكن أن تكون بمثابة مثال على صناعة عالية المخاطر.
يبدو أنه بعد مرور ما يقرب من عقد من الزمن على بدء الحديث حول تعزيز الأمن السيبراني للمواقع النووية المدنية، فإن الصناعة في المملكة المتحدة أقل تقدمًا مما ينبغي في تخفيف المخاطر وإجراء التحسينات.
ونظرًا للنمو والتنوع المتوقعين في جميع أنحاء الصناعة، مع تصميم أنواع جديدة من المفاعلات، فمن الملح أن تقوم الصناعة النووية بتكثيف عملها في مجال الأمن السيبراني واستدامته.
