W coraz bardziej zinformatyzowanym świecie transport szynowy, na równi z innymi dziedzinami życia i gospodarki, jest narażony na ataki hakerów. Każdy taki incydent może doprowadzić do poważnej destabilizacji systemu kolejowego, zagrażając życiu i zdrowiu ludzi. Jednak świadomość niebezpieczeństw płynących z cyberprzestrzeni wciąż jest niska. Aby to zmienić niezbędna jest wspólna platforma komunikacji i transferu wiedzy między specjalistami IT a kolejarzami – takie wnioski płyną z „Debaty z Kurierem” poświęconej ochronie danych informatycznych na kolei.

Kolej tylko pozornie jest wolna od tego rodzaju zagrożeń. Na świecie dochodziło już do cyberataków na Deutsche Bahn czy system metra w Korei Południowej. Nie wiemy jeszcze czy taki atak w Polsce już się pojawił. Cyberprzestrzeń cechuje się tym, że nie ma barier geograficznych. Niezależnie od tego z jakich systemów zabezpieczeń korzystają koleje czy inne systemy transportowe w poszczególnych państwach – zaznaczał Michał Rotnicki, kierownik Działu Rozwoju Produktów i Komercjalizacji w NASK.

Jaka jest skala zagrożenia?

Firma McAfee wykrywa już 316 nowych zagrożeń cybernetycznych na minutę. To daje 5 incydentów na sekundę. Zidentyfikowanych złośliwych oprogramowań tzw. maleware’ów jest na świecie 600 milionów. A nie o wszystkich incydentach wiemy, gdyż niejednokrotnie wykrywane są one dopiero po jakimś czasiemówił Artur Ślubowski, kierownik zespołu bezpieczeństwa w Departamencie Bezpieczeństwa PKP Informatyka. Specjaliści wiedzą, że przygotowanie ataku na systemy informatyczne jest bardzo proste. Tymczasem wiele firm nawet nie zdaje sobie z tego sprawy, ignorując ryzyko, a usunięcie takiego problemu bywa długotrwałe – podkreślał.

W tym kontekście pojawiły się pytania, na ile dany system jest podatny na zagrożenia (jakiego rodzaju, gdzie są słabe punkty), jak wycenić ryzyko ataku, a także co, w jaki sposób i w jakim zakresie powinno być chronione.

– Wiele sfer życia ma swoją cenę. Jaką cenę ma bezpieczeństwo, jak to wycenić? – pytał Artur Barankiewicz, kierownik Wydziału ICT Business Alignment w Orange. – Systemy zabezpieczające mają minimalizować ryzyko. Oczywiście nigdy nie ograniczymy go do zera, ale trzeba do tego dążyć, ponieważ nikt z nas nie chciałby być w pociągu, który będzie celem cyberataku. Bezpieczeństwo w tym przypadku jest nieocenione. Ochrona życia i zdrowia jest bezcenna  – dodawał.

Nieprzygotowana kolej

Wśród elementów tzw. infrastruktury krytycznej są komputerowe urządzenia sterowania ruchem kolejowym w PKP PLK – zainstalowane w 112 okręgach nastawczych sterują 2807 zwrotnicami i 3359 sygnalizatorami. Urządzenia zdalnego sterowania obejmują 977,474 km linii kolejowych i 87 stacji, na których bezpieczne kursowanie pociągów nadzoruje 26 centrów zdalnego sterowania ruchem  Ponadto, w komputerowe samoczynne urządzenia zabezpieczenia ruchu na przejazdach kolejowych wyposażone są 720 skrzyżowania linii kolejowych z drogami publicznymi. Powyższe dane pochodzą z 2013 roku, można więc spokojnie przyjąć (zważywszy na rekordowe wydatki na kolej w minionych latach), że obecnie jest ich jeszcze więcej. Ważną kwestią jest też ciągłość działania usług Grupy PKP wspieranej systemami IT tj. rezerwacja i sprzedaż biletów w ruchu pasażerskim, wsparcie zarządzania taborem i ruchem kolejowym oraz utrzymanie infrastruktury informatycznej pod potrzezby świadczenia usług w grupie.

W opinii zgromadzonych na debacie eksperów poziom ochrony wyżej wymienionych elementów pozostawia wiele do życzenia. Problem w tym, że kolejarze nie do końca zdają sobie z tego sprawę. Świadczy o tym fakt, że na debacie pojawili się jedynie przedstawiciele PKP Polskich Linii Kolejowych, Przewozów Regionalnych oraz PKP Informatyki.

Podział jednego przedsiębiorstwa PKP na wiele podmiotów sprawił, że kompetencje i wiedza z zakresu bezpieczeństwa i informatyzacji „rozeszły się” po mniejszych spółkach. Kiedy były jedne koleje państwowe, jeszcze to jakoś funkcjonowało. Teraz musimy postawić na edukację, gdyż nie ma komunikacji między branżami. Prawnicy mówią innym językiem, informatycy innym a kolejarze jeszcze innym. Stąd jest coraz mniej zrozumienia i świadomości różnych zagrożeń. PKP Informatyka ma niebagatelną rolę w uświadamianiu grupy PKP o potrzebie działań w cyberprzestrzeni  – wskazywał Piotr Pachutko, dyrektor Biura Bezpieczeństwa w Przewozach Regionalnych.

Uczestnicy spotkania zaznaczyli jednak, że podejście do tej tematyki powoli się zmienia. Po dwudziestu latach cyfrowej rewolucji na powagę sytuacji zwróciło w końcu uwagę Ministerstwo Cyfryzacji, które zachęca do zgłoszania wszystkich incydentów w sferze bezpieczeństwa teleinformatycznego. – Należy pamiętać, że szybkie działanie i prawidłowa reakcja może Cię uchronić przed większymi, negatywnymi skutkami ataku na Twój komputer i Twoje dane – można przeczytać na stronie resortu.