Byli szefowie rady gminy Copeland obwiniają atak systemu ransomware w 2017 r. za nieprzedłożenie przez organ zweryfikowanych sprawozdań finansowych za ostatnie cztery lata działalności.
W ramach reformy samorządu lokalnego Copeland został włączony do wspólnego organu Cumberland w dniu 1 kwietnia 2023 r.
Audytorzy z firmy Grant Thornton również ostro skrytykowali Copelanda za jego reakcję na oprogramowanie ransomware atak – który według byłych szefów rady stoi za problemami księgowymi – uwydatniający oczywistą niemożność wykazania, w jaki sposób wydano przydzielone środki oraz brak odpowiednich środków bezpieczeństwa cybernetycznego.
W raporcie z audytu sporządzonym przez Grant Thorntona i niedawno zaprezentowanym radnym podkreślono, iż Copeland zatrudnił niespecjalistycznego personelu IT do nadzorowania odbudowy po ataku z 2017 r., który dotknął także wiele innych rad i dziesiątki funduszy NHS w Anglii.
„Rada zleciła zewnętrznym wykonawcom pomoc w usuwaniu skutków cyberataku” – stwierdzono. „Jednak ci wykonawcy byli w większości ogólnym personelem IT, a nie zewnętrznymi specjalistami ds. odzyskiwania po incydentach cybernetycznych. Następnie rada odbudowała swoje krytyczne systemy informatyczne na sprzęcie wycofanym z eksploatacji”.
Ustaliła również, iż Copeland nie wiedziała, jaki sprzęt posiada ani czy będzie przez cały czas wspierana do końca kolejnego roku budżetowego, dodała, iż nie rozumie ryzyka, na jakie naraża się ze względu na „słabości występujące w jego środowisku kontroli IT”.
W raporcie stwierdzono, iż kierownictwo rady „powinno zapewnić odpowiednie śledzenie, raportowanie i monitorowanie wszelkich przyszłych kierunków inwestowania w celu wykazania, iż zapewniony jest stosunek jakości do ceny, biorąc pod uwagę niedociągnięcia w przedstawieniu dowodów potwierdzających przeznaczenie 1,8 mln funtów na pokrycie kosztów cyberataków w 2018 i 2019”.
Ataki ransomware
Rada gminy Copeland została dotknięta falą Oprogramowanie ransomware WannaCry ataki, które miały miejsce w maju 2017 r., które spowodowały spustoszenie w wielu brytyjskich dostawcach usług publicznych w weekend świąteczny.
Śledząc Chcę płakać ataku, Copeland wykonał kilka Aplikacje pożyczyć miliony z kapitału rezerwowego na pokrycie bieżących kosztów bieżących.
Były radny, który również pracował w Sellafielda powtórzył niektóre z tych komentarzy, gdy w zeszłym roku powiedział „Computer Weekly”, iż był świadomy, iż przed atakiem nie wzięto pod uwagę potencjalnych luk w zabezpieczeniach cyberbezpieczeństwa w odniesieniu do Sellafield.
Pomimo powiedział BBC cyberatak został powstrzymany w 2018 r., jak poinformowało Computer Weekly źródło samorządu, szefowie Copeland przyznali następnie, iż „nadal nie wiedzą, kto to zrobił i co [information] zaginął” podczas ataku w 2017 r.
Unikalne posiadanie danych operacyjnych przez Copeland i Cumberland dla Największy obiekt nuklearny w Europie, która zatrudnia około 11 000 osób w swojej placówce położonej na wybrzeżu Cumbrii, co czyni ją szczególnie narażonym na ataki cybernetyczne, według źródła w Radzie. Dane te mogą obejmować przemieszczanie zapasów materiałów nuklearnych, gospodarkę odpadami, informacje dotyczące planowania i usługi świadczone na rzecz Sellafield przez wykonawców.
Sellafield i jej organy regulacyjne twierdzą jednak, iż nie mają powodu sądzić, iż jakiekolwiek wrażliwe informacje zostały naruszone w wyniku ataku systemu ransomware w 2017 roku.
Morze czerwieni
Według byłych szefów władz samorządowych, którzy za rozwijający się kryzys księgowy Copelanda winią incydent z 2017 r., finansowe konsekwencje ataku na oprogramowanie ransomware są dalekosiężne.
W księgach Copelanda wykryto „rozbieżność” wynoszącą co najmniej 8 milionów funtów, co stanowi ponad połowę rocznego budżetu niedawno rozwiązanej rady gminy. Uważa się, iż skutki tego incydentu przyczyniły się do niedoboru prawie 30 milionów funtów w nowo utworzonych władzach Cumberland.
Na marcowym posiedzeniu audytorzy z Grant Thornton wypatroszyli urzędników samorządowych w związku ze stanem finansów Copeland, opisując ich jako „morze czerwieni” i oznaki długoterminowych niepowodzeń.
„W mojej długiej karierze audytora w samorządzie lokalnym nigdy nie widziałem tak złego zestawienia rachunków” – powiedział władzom jednego z wiodących audytorów firmy. „Poruję tę pracę od dłuższego czasu i jest to jedna z najgorszych serii raportów z audytów, z jakimi się zetknęliśmy. Wszystko, czego moglibyśmy się rozsądnie spodziewać, nie wydarzyło się w Copeland przez długi czas. Wynik Copelanda był znacznie poniżej oczekiwań”.
W najnowszym raporcie z audytu, który Grant Thornton przygotował dla rady, podkreślono również brak odpowiedzialności w radzie za koszty wynikające z cyberataku i późniejszej reakcji. W raporcie jako przyczyny takiego stanu rzeczy wskazano rotację personelu i nieprawidłowe prowadzenie dokumentacji.
Stwierdzono, iż „kierownictwo nie było w stanie w pełni wyjaśnić struktury kosztów związanych z cyberprzestrzenią i utraconych dochodów w związku z dyrektywą w sprawie kapitalizacji z października 2018 r. ze względu na niedostępność dokumentacji i zmianę personelu spowodowaną upływem czasu. Nie można zatem stwierdzić, iż poniesione wydatki zapewniły mieszkańcom Copeland stosunek jakości do ceny w roku 2018/19”.
Cumberland musi się teraz zmierzyć z zaleceniami ustawowymi – co audytorzy określili jako „niezwykle rzadkie” – jeżeli do 30 września 2024 r. nie przedstawi zaległych rachunków Copeland za cztery lata.
Kontrola stanu IT
Pozostają ważne pytania dotyczące adekwatności systemów cyberobrony władz lokalnych Kumbrii i ogólnego zarządzania IT.
Główny inspektor nuklearny Wielkiej Brytanii wezwał do „konsekwentnie silne przywództwo” w sprawie bezpieczeństwa cybernetycznego w przemyśle nuklearnym podczas dorocznej konferencji Urzędu Regulacji Jądrowych w październiku.
Jednak seria raportów z Tygodnik Komputerowy, Prywatne oko I Opiekun wzbudziły pytania dotyczące luk w systemie bezpieczeństwa cybernetycznego Sellafield i praktykach stosowanych przez pracowników zarówno w siedzibie, jak i poza nią. Źródło miejskie określiło niedawno Copeland i Cumberland jako „piętę achillesową” hakerów i zagrożeń cybernetycznych.
Cumberland powiedział Computer Weekly, iż opracował „tymczasowy plan awaryjny”, ale nie podał dalszych szczegółów dokumentu ani jego kopii.
Rzecznik rady argumentował, iż takie postępowanie lub „podanie dalszych szczegółów na temat systemów informatycznych może potencjalnie zagrozić bezpieczeństwu systemów”.
Rzecznik powiedział, iż Rada Cumberland ma świadomość, iż dla byłego Copeland nie istniał plan przywracania stanu klęski żywiołowej. Po szeroko zakrojonych pracach podjętych w celu uzyskania Sieć usług publicznych (PSN) zgodność – rządowy standard bezpieczeństwa cybernetycznego – w Copeland zespół Cumberland opracował tymczasowy plan naprawy. „Dzięki temu mamy pewność, iż plany dla wszystkich starszych sieci zostaną wdrożone” – stwierdził.
Russell Price, przewodniczący Forum Ciągłości w zeszłym roku krytykowany Reakcja mediów Copelanda na incydent z 2017 roku. Powiedział jednak, iż Copeland i Cumberland stoją przed wyzwaniami związanymi z bezpieczeństwem cybernetycznym, z którymi boryka się wiele organów brytyjskiego sektora publicznego.
Rzecznik Cumberland powiedział Computer Weekly, iż środki podjęte w celu rozwiązania problemu bezpieczeństwa cybernetycznego od czasu utworzenia połączonego organu w kwietniu 2023 r. były „szeroko zakrojone”.
„Firma Cumberland podjęła znaczną ilość pracy, aby zapewnić, iż środowisko kontroli ICT firmy Copeland spełnia wymogi akredytacji sieci usług publicznych” – powiedział rzecznik.
„Prace te mogły rozpocząć się dopiero 1 kwietnia 2023 r., kiedy powstała Rada Cumberland. Znaczna część dawnej architektury ICT firmy Copeland jest w tej chwili oparta na chmurze” – kontynuowali.
„Zlecono i przeprowadzono szeroko zakrojoną ocenę stanu ICT oraz podjęto dalsze szeroko zakrojone prace mające na celu podjęcie działań zaradczych w celu uzyskania certyfikatu PSN dla dotychczasowej sieci Copeland”.
Ryzyko strategiczne
Rzecznik rady powiedział również, iż władze lokalne „odnotowały strategiczne ryzyko” cyberataków ze względu na obecny klimat geopolityczny.
Stany Zjednoczone ostrzegły, iż Chiny zwiększają liczbę cyberataków wymierzonych w kluczową infrastrukturę energetyczną i użyteczności publicznej na Zachodzie.
Ostatnio były szef Narodowego Centrum Cyberbezpieczeństwa powiedział Computer WeeklyJednakże Wielka Brytania może niezrozumieć zagrożeń cybernetycznych stwarzanych przez Chiny i inne potencjalnie wrogie podmioty państwowe.
„Większość infrastruktury Copeland została wymieniona, zmodernizowana i wdrożona zgodnie z najlepszymi praktykami” – powiedział rzecznik. „Obejmuje to sieć szkieletową, zapory sieciowe, VPN i infrastrukturę centrum danych.
„Rada Cumberland zarejestrowała strategiczne ryzyko związane z atakami cybernetycznymi ze względu na obecne środowisko ryzyka geopolitycznego” – kontynuowali. „Zespół harmonizuje w tej chwili swoje rejestry ryzyka operacyjnego i będzie współpracować z Menedżerem ds. ryzyka Rady w celu stworzenia rejestru ryzyka operacyjnego zgodnego z ramami zarządzania ryzykiem Rady”.
Skontaktowano się z Sellafieldem w celu uzyskania komentarza.
