Rośnie liczba cyberataków na infrastrukturę kolejową. Mogą one grozić paraliżem

-Reklama-Biuro Tłumaczeń OnlineBiuro Tłumaczeń Online

Rośnie liczba cyberataków na infrastrukturę kolejową. Mogą one grozić paraliżem 2

Infrastruktura kolejowa jest kluczowa nie tylko ze względu na przewozy pasażerskie, lecz także towarowe, zwłaszcza transport krytycznych z punktu widzenia państwa produktów, jak ropa naftowa czy węgiel. – Jeżeli ruch kolejowy zostanie sparaliżowany, możemy mieć np. przerwy w dostawach energii elektrycznej – mówi Andrzej Bartosiewicz, ekspert Thales Polska. Jak podkreśla, liczba ataków hakerskich na infrastrukturę krytyczną, do której zalicza się transport kolejowy, rośnie gwałtownie, a problemem wciąż pozostaje bardzo długi, nawet 6-miesięczny, czas pomiędzy atakiem a momentem, w którym zostanie wykryty.

Dziś konflikty zbrojne nie odbywają się już tylko w obszarze militarnym, lecz zagrożone są też elementy infrastruktury krytycznej, m.in. transport kolejowy, lotniczy, wodociągi czy energetyka – mówi agencji informacyjnej Newseria Biznes dr inż. Andrzej Bartosiewicz, dyrektor sprzedaży i rozwoju biznesu w obszarze cybersecurity Thales Polska.

Infrastruktura krytyczna jest kluczowa dla ciągłości funkcjonowania państwa. Zalicza się do niej m.in. transport kolejowy, zarówno towarowy, jak i osobowy. Ten musi być nie tylko punktualny, sprawny i bezpieczny, lecz także jako potencjalny cel ataków hakerskich zabezpieczony przed cyberatakami.

Ruch kolejowy to nie tylko pasażerowie. To też transport krytycznych z punktu widzenia państwa produktów, jak ropa naftowa, benzyna czy węgiel. Jeżeli zostanie sparaliżowany ruch kolejowy, możemy mieć np. przerwy w dostawach energii elektrycznej. Dlatego bezpieczeństwo ruchu kolejowego jest elementem bezpieczeństwa państwa. Trzeba poświęcić dużo uwagi, żeby nie stało się jego słabym elementem – podkreśla Andrzej Bartosiewicz.

Liczba ataków hakerskich na infrastrukturę krytyczną wzrasta, co potwierdziły m.in. dane Federalnego Urzędu Bezpieczeństwa Teleinformatycznego, które na początku tego roku ujawnił niemiecki dziennik „Welt am Sonntag”. Wynika z nich, że tylko w II połowie ubiegłego roku doszło w Niemczech do 157 ataków hakerskich na infrastrukturę krytyczną, z czego 19 na sieci elektroenergetyczne. Jeszcze na przełomie roku 2016/2017 takich incydentów odnotowano raptem 34.

Mamy całą masę wirusów i złośliwego oprogramowania, którego celem jest zidentyfikowanie słabych elementów sieci i zaatakowanie ich. Hakerzy mają tutaj wiele celów do osiągnięcia. Pierwszym jest pozyskanie szczegółowych danych o elementach tych systemów, o tym, co jest zainstalowane. Następnie dokonują spersonalizowanych, dedykowanych ataków, np. po to, żeby zatrzymać ruch kolejowy albo dokonać jakiegoś innego działania, które potencjalnie zagraża bezpieczeństwu pasażerów czy transportu towarów – mówi Andrzej Bartosiewicz.

Główny problem w przypadku takich incydentów stanowi wciąż bardzo długi czas pomiędzy atakiem a momentem, w którym zostanie wykryty. Ten potrafi sięgać nawet 6 miesięcy.

To oznacza, że haker buszuje w sieci przez 6 miesięcy i zaatakowany dowiaduje się o tym dopiero, kiedy dojdzie np. do poważnych zniszczeń czy kradzieży danych. Dlatego bardzo istotnym elementem działań po stronie operatorów infrastruktury krytycznej jest skrócenie tego czasu od ataku do jego wykrycia – mówi Andrzej Bartosiewicz. – Kolejna rzecz to cały system wymiany informacji między Polską a innymi krajami Unii Europejskiej. Takie ataki często są skoordynowane i dotyczą kilku krajów, dlatego współpraca między podmiotami zajmującymi się bezpieczeństwem w każdym z krajów Unii Europejskiej musi być ścisła.

Co istotne, infrastruktura kolejowa, podobnie jak inne typy infrastruktury krytycznej, różni się od systemów IT znanych z biur. To przede wszystkim systemy, które sterują ruchem kolejowym albo spełniają inne zadania, ważne z punktu widzenia bezpieczeństwa pasażerów czy ruchu towarowego.

– Takie systemy muszą być stale monitorowane. Wszelkie anomalie muszą być wykrywane, a następnie właściwe służby po stronie operatora muszą takie potencjalne zagrożenia eliminować – zaznacza Andrzej Bartosiewicz.

Jak podkreśla, infrastruktura kolejowa jest częścią infrastruktury krytycznej, określonej przez Komisję Europejską w dyrektywie NIS przyjętej trzy lata temu, a w ubiegłym roku wdrożonej do polskiego prawa w postaci ustawy o Krajowym Systemie Cyberbezpieczeństwa.

Dlatego operatorzy infrastruktury kolejowej są zobligowani przepisami prawa do jej zabezpieczenia – mówi Andrzej Bartosiewicz.

Celem dyrektywy jest przede wszystkim zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej i umożliwienie skutecznej walki z zagrożeniami.

W Polsce ustawa o KSC i ustawa o zarządzaniu kryzysowym, komplementarne wobec siebie, nakładają na operatorów infrastruktury krytycznej wymóg, aby każdy atak hakerski i incydent naruszenia bezpieczeństwa w ciągu 24 godzin zgłaszać do CSIRT GOV lub CSIRT MON (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego).

Ustawa o KSC jest latarnią, która wyznacza operatorom infrastruktury kolejowej i innych krytycznych elementów, jak np. energetyka, jakie działania muszą podjąć, aby zwiększyć bezpieczeństwo. Operatorzy muszą m.in. dokonać analizy ryzyka i ocenić, które elementy są potencjalnie narażone na ataki ze strony hakerów. Kolejny krok to wdrożenie odpowiednich rozwiązań technicznych. Należy zainwestować czas i pieniądze, aby to bezpieczeństwo zwiększyć – mówi Andrzej Bartosiewicz.

Ekspert podkreśla, że w Polsce wymogi, które na operatorów infrastruktury krytycznej nakłada ustawa o KSC, są dość restrykcyjne w porównaniu z prawodawstwem w innych krajach UE. Przepisy wymagają m.in. wyznaczenia osób odpowiedzialnych i wdrożenia odpowiednich procedur reagowania w przypadku incydentów zagrożenia bezpieczeństwa.

– Pasażerowie nie powinni odczuć tych działań dokonywanych w celu zabezpieczenia sieci. Idea jest taka, że operatorzy wprowadzają rozwiązania, które są dla pasażerów niewidoczne – mówi Andrzej Bartosiewicz.

Autor/Źródło:

Disclaimer: Informacje zawarte w niniejszej publikacji służą wyłącznie do celów informacyjnych. Nie stanowią one porady finansowej lub jakiejkolwiek innej porady, mają charakter ogólny i nie są skierowane dla konkretnego adresata. Przed skorzystaniem z informacji w jakichkolwiek celach należy zasięgnąć niezależnej porady.

Polecane

Jak upały wpływają na gospodarkę i biznes

Gdy temperatura rośnie, spada nie tylko komfort pracy. Ekstremalne...

Rynek pracy w Polsce: które zawody dominują, gdzie brakuje młodych i kogo zastąpi AI

Główny Urząd Statystyczny opublikował pierwsze tak szczegółowe zestawienie zawodów...

Czy boom na AI pęknie? Prognoza na III kwartał dla giełd, złota i ropy

Koniec II kwartału przyniósł mocne odbicie akcji spółek związanych...

Koniec last minute? Kryzys paliwowy może podnieść ceny biletów lotniczych

Niekoniecznie w domu, ale jeśli wyjazd to: na krócej,...

TFI zarobiły 1,4 mld zł. Zysk branży wyższy o 38 proc.

Towarzystwa funduszy inwestycyjnych zamknęły 2025 r. najlepszym wynikiem w...
Wiadomości

Wyścig o moc obliczeniową przyspiesza. Data center zbliżają się do punktu krytycznego

Już w ciągu najbliższych miesięcy, bieżącego roku, infrastruktura data...

UODO: właściciel kamery nie może bez podstawy nagrywać sąsiadów i przechodniów

Osoba, która nie wykonała nakazu Prezesa Urzędu Ochrony Danych...

UODO chce szybszego usuwania deepfake’ów i danych wykradzionych w cyberatakach

Prezes Urzędu Ochrony Danych Osobowych pozytywnie ocenia uwzględnienie przez...

Centra danych przenoszą się poza największe huby Europy. Polska na radarze inwestorów

Rynek centrów danych w regionie EMEA wszedł w nową...

Cloud-First już nie wystarcza. Suwerenność cyfrowa zmienia strategie IT

Przez długi czas Cloud-First było uważane za niekwestionowaną zasadę...

Baker McKenzie: Nowe przepisy o cyberbezpieczeństwie wyzwaniem dla wielu firm energetycznych w Polsce

Nowa unijna dyrektywa NIS2 zwiększająca poziom cyberbezpieczeństwa w infrastrukturze...

Kancelaria podatkowa ukarana za przejęte konto e-mail. Prezes UODO nałożył ponad 11 tys. zł kary

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył karę...
Coś dla Ciebie

Wybrane kategorie