Mówi: | dr inż. Andrzej Bartosiewicz |
Funkcja: | dyrektor sprzedaży i rozwoju biznesu w obszarze cybersecurity |
Firma: | Thales Polska |
Rośnie liczba cyberataków na infrastrukturę kolejową. Mogą one grozić paraliżem
Infrastruktura kolejowa jest kluczowa nie tylko ze względu na przewozy pasażerskie, lecz także towarowe, zwłaszcza transport krytycznych z punktu widzenia państwa produktów, jak ropa naftowa czy węgiel. – Jeżeli ruch kolejowy zostanie sparaliżowany, możemy mieć np. przerwy w dostawach energii elektrycznej – mówi Andrzej Bartosiewicz, ekspert Thales Polska. Jak podkreśla, liczba ataków hakerskich na infrastrukturę krytyczną, do której zalicza się transport kolejowy, rośnie gwałtownie, a problemem wciąż pozostaje bardzo długi, nawet 6-miesięczny, czas pomiędzy atakiem a momentem, w którym zostanie wykryty.
– Dziś konflikty zbrojne nie odbywają się już tylko w obszarze militarnym, lecz zagrożone są też elementy infrastruktury krytycznej, m.in. transport kolejowy, lotniczy, wodociągi czy energetyka – mówi agencji informacyjnej Newseria Biznes dr inż. Andrzej Bartosiewicz, dyrektor sprzedaży i rozwoju biznesu w obszarze cybersecurity Thales Polska.
Infrastruktura krytyczna jest kluczowa dla ciągłości funkcjonowania państwa. Zalicza się do niej m.in. transport kolejowy, zarówno towarowy, jak i osobowy. Ten musi być nie tylko punktualny, sprawny i bezpieczny, lecz także jako potencjalny cel ataków hakerskich zabezpieczony przed cyberatakami.
– Ruch kolejowy to nie tylko pasażerowie. To też transport krytycznych z punktu widzenia państwa produktów, jak ropa naftowa, benzyna czy węgiel. Jeżeli zostanie sparaliżowany ruch kolejowy, możemy mieć np. przerwy w dostawach energii elektrycznej. Dlatego bezpieczeństwo ruchu kolejowego jest elementem bezpieczeństwa państwa. Trzeba poświęcić dużo uwagi, żeby nie stało się jego słabym elementem – podkreśla Andrzej Bartosiewicz.
Liczba ataków hakerskich na infrastrukturę krytyczną wzrasta, co potwierdziły m.in. dane Federalnego Urzędu Bezpieczeństwa Teleinformatycznego, które na początku tego roku ujawnił niemiecki dziennik „Welt am Sonntag”. Wynika z nich, że tylko w II połowie ubiegłego roku doszło w Niemczech do 157 ataków hakerskich na infrastrukturę krytyczną, z czego 19 na sieci elektroenergetyczne. Jeszcze na przełomie roku 2016/2017 takich incydentów odnotowano raptem 34.
– Mamy całą masę wirusów i złośliwego oprogramowania, którego celem jest zidentyfikowanie słabych elementów sieci i zaatakowanie ich. Hakerzy mają tutaj wiele celów do osiągnięcia. Pierwszym jest pozyskanie szczegółowych danych o elementach tych systemów, o tym, co jest zainstalowane. Następnie dokonują spersonalizowanych, dedykowanych ataków, np. po to, żeby zatrzymać ruch kolejowy albo dokonać jakiegoś innego działania, które potencjalnie zagraża bezpieczeństwu pasażerów czy transportu towarów – mówi Andrzej Bartosiewicz.
Główny problem w przypadku takich incydentów stanowi wciąż bardzo długi czas pomiędzy atakiem a momentem, w którym zostanie wykryty. Ten potrafi sięgać nawet 6 miesięcy.
– To oznacza, że haker buszuje w sieci przez 6 miesięcy i zaatakowany dowiaduje się o tym dopiero, kiedy dojdzie np. do poważnych zniszczeń czy kradzieży danych. Dlatego bardzo istotnym elementem działań po stronie operatorów infrastruktury krytycznej jest skrócenie tego czasu od ataku do jego wykrycia – mówi Andrzej Bartosiewicz. – Kolejna rzecz to cały system wymiany informacji między Polską a innymi krajami Unii Europejskiej. Takie ataki często są skoordynowane i dotyczą kilku krajów, dlatego współpraca między podmiotami zajmującymi się bezpieczeństwem w każdym z krajów Unii Europejskiej musi być ścisła.
Co istotne, infrastruktura kolejowa, podobnie jak inne typy infrastruktury krytycznej, różni się od systemów IT znanych z biur. To przede wszystkim systemy, które sterują ruchem kolejowym albo spełniają inne zadania, ważne z punktu widzenia bezpieczeństwa pasażerów czy ruchu towarowego.
– Takie systemy muszą być stale monitorowane. Wszelkie anomalie muszą być wykrywane, a następnie właściwe służby po stronie operatora muszą takie potencjalne zagrożenia eliminować – zaznacza Andrzej Bartosiewicz.
Jak podkreśla, infrastruktura kolejowa jest częścią infrastruktury krytycznej, określonej przez Komisję Europejską w dyrektywie NIS przyjętej trzy lata temu, a w ubiegłym roku wdrożonej do polskiego prawa w postaci ustawy o Krajowym Systemie Cyberbezpieczeństwa.
– Dlatego operatorzy infrastruktury kolejowej są zobligowani przepisami prawa do jej zabezpieczenia – mówi Andrzej Bartosiewicz.
Celem dyrektywy jest przede wszystkim zapewnienie wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium całej Unii Europejskiej i umożliwienie skutecznej walki z zagrożeniami.
W Polsce ustawa o KSC i ustawa o zarządzaniu kryzysowym, komplementarne wobec siebie, nakładają na operatorów infrastruktury krytycznej wymóg, aby każdy atak hakerski i incydent naruszenia bezpieczeństwa w ciągu 24 godzin zgłaszać do CSIRT GOV lub CSIRT MON (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego).
– Ustawa o KSC jest latarnią, która wyznacza operatorom infrastruktury kolejowej i innych krytycznych elementów, jak np. energetyka, jakie działania muszą podjąć, aby zwiększyć bezpieczeństwo. Operatorzy muszą m.in. dokonać analizy ryzyka i ocenić, które elementy są potencjalnie narażone na ataki ze strony hakerów. Kolejny krok to wdrożenie odpowiednich rozwiązań technicznych. Należy zainwestować czas i pieniądze, aby to bezpieczeństwo zwiększyć – mówi Andrzej Bartosiewicz.
Ekspert podkreśla, że w Polsce wymogi, które na operatorów infrastruktury krytycznej nakłada ustawa o KSC, są dość restrykcyjne w porównaniu z prawodawstwem w innych krajach UE. Przepisy wymagają m.in. wyznaczenia osób odpowiedzialnych i wdrożenia odpowiednich procedur reagowania w przypadku incydentów zagrożenia bezpieczeństwa.
– Pasażerowie nie powinni odczuć tych działań dokonywanych w celu zabezpieczenia sieci. Idea jest taka, że operatorzy wprowadzają rozwiązania, które są dla pasażerów niewidoczne – mówi Andrzej Bartosiewicz.
Czytaj także
- 2024-09-26: Polska prezydencja w Radzie UE będzie szansą na kształtowanie polityki gospodarczej Unii. Przedsiębiorcy mają swoje oczekiwania
- 2024-09-17: Opóźnianie wejścia Ukrainy do NATO zwiększy zagrożenie ze strony Rosji dla członków sojuszu. Trwają dyskusje o możliwych warunkach akcesji
- 2024-09-25: Budowa CPK ma ruszyć w 2026 roku. Wyzwaniem będzie skumulowanie dużych inwestycji w jednym czasie
- 2024-09-16: Ligowe mecze siatkarek w poprzednim sezonie obejrzało na trybunach ponad 210 tys. widzów. Sukcesy polskiej ligi przyciągają sponsorów
- 2024-09-05: W. Kosiniak-Kamysz: COVID-19 i wojna pokazały nam zagrożenia dla łańcuchów dostaw. Musimy być niezależni w produkcji sprzętu wojskowego
- 2024-09-10: Prezes PAN: Akademia wymaga reformy i usprawnienia. Nie będzie ona skuteczna przy obecnym poziomie finansowania
- 2024-09-02: Projekt nowelizacji ustawy o Polskiej Akademii Nauk wzburzył naukowców. Ich zdaniem spowoduje on obniżenie prestiżu tej instytucji oraz ograniczy jej samodzielność
- 2024-09-24: Aleksandra Adamska: Mój kalendarz zapełniony jest po brzegi. Mam taką ilość zobowiązań zawodowych, że nie jestem już w stanie zrobić nic dodatkowego
- 2024-09-09: Wraz z kolejnymi szczeblami edukacji spada odsetek uczniów lubiących matematykę. To nie tylko kwestia trudności przedmiotu, ale i sposobu nauczania
- 2024-09-18: Wylesianie jedną z głównych przyczyn zmian klimatu. Coraz więcej podmiotów angażuje się w ich ochronę
Kalendarium
Więcej ważnych informacji
Jedynka Newserii
Jedynka Newserii
Infrastruktura
W przyszłym roku spodziewana jest fala inwestycji ze środków UE. Prawo zamówień publicznych wymaga pewnych korekt
W 2025 roku spodziewany jest w Polsce początek boomu inwestycyjnego, związanego głównie z większym niż dotychczas napływem funduszy z KPO i regularnych środków unijnych. Skorzysta na tym przede wszystkim budownictwo, ale pewne obawy budzi przewidywana kumulacja inwestycji, również w kontekście systemu zamówień publicznych. – O ile może prawo zamówień publicznych wymagać pewnych punktowych korekt, o tyle chyba nie ma potrzeby jego gruntownego przemeblowania – ocenia Mariusz Haładyj, prezes Prokuratorii Generalnej RP. Jak wskazuje, niektóre elementy zamówień publicznych wymagają raczej wypracowania praktycznych rozwiązań niż zmian legislacyjnych.
Prawo
Polska prezydencja w Radzie UE będzie szansą na kształtowanie polityki gospodarczej Unii. Przedsiębiorcy mają swoje oczekiwania
Poprawa otoczenia prawnego, uproszczenie regulacji, likwidacja protekcjonizmu w poszczególnych krajach członkowskich wobec innych rynków UE, ale też budowanie otoczenia sprzyjającego rozwojowi innowacji i nowoczesnego rynku technologicznego – to główne postulaty Federacji Przedsiębiorców Polskich wobec nadchodzącej polskiej prezydencji w Radzie UE. Wszystkie te elementy mają wzmocnić konkurencyjność unijnych firm i przemysłu na arenie międzynarodowej, gdzie dziś przegrywają wyścig z USA i Azją.
Transport
Sejm pracuje nad nowelizacją ustawy o przetwarzaniu danych pasażera. Linie lotnicze liczą na uniknięcie miliardowych kar
Parlament pracuje nad nowelizacją ustawy o przetwarzaniu danych dotyczących przelotu pasażera. Wymaga tego orzeczenie Trybunału Sprawiedliwości UE, który orzekł, że niektóre wprowadzone dyrektywą i wdrożone w krajach członkowskich regulacje są zbyt restrykcyjne. Chodzi m.in. o obowiązek przekazywania danych pasażerów na wszystkich lotach wewnątrz UE. Poprawy w polskiej ustawie wymaga także mechanizm nakładania kar na przewoźników za niewywiązanie się z obowiązków. Na razie nad liniami lotniczymi wisi widmo 4 mld zł kar, ale projekt ustawy zawiera propozycję abolicji.
Partner serwisu
Szkolenia
Akademia Newserii
Akademia Newserii to projekt, w ramach którego najlepsi polscy dziennikarze biznesowi, giełdowi oraz lifestylowi, a także szkoleniowcy z wieloletnim doświadczeniem dzielą się swoją wiedzą nt. pracy z mediami.