Raport EY, Ministerstwa Infrastruktury i NASK PIB: Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce

Raport przedstawia analizę trzech segmentów transportu – kolejowego, lotniczego i wodnego – w których na podstawie ustawy o krajowym systemie cyberbezpieczeństwa wyznaczono operatorów usług kluczowych.

Szczególnie dobrze wypadły w tym względzie podmioty w obszarze lotnictwa, gdzie 7 spośród 12 operatorów usług kluczowych posiada wyższą dojrzałość w zakresie cyberbezpieczeństwa. 

Niezależnie od raportu EY, MI i NASK, urzędnicy, w ramach działań organu właściwego ds. cyberbezpieczeństwa, skontrolowali już co trzeciego operatora usług kluczowych w sektorze transportu.

Lotnictwo świadome ryzyka

Liczba naruszeń bezpieczeństwa teleinformatycznego w sektorze transportu w Polsce wciąż jest niewielka – wynika z danych CERT Polska z lat 2019-2021. Nie przekroczyła ona 1 proc. wszystkich zgłoszonych incydentów w tym okresie.

W skali światowej najbardziej narażony na cyberataki jest sektor lotniczy, który w coraz większym stopniu korzysta z rozwiązań informatycznych – od rezerwacji lotu, poprzez oprogramowanie na lotniskach i w samolotach, po pokładowe systemy informacyjno-rozrywkowe dla pasażerów. Najnowsze systemy są integrowane z systemami informatycznymi poprzednich generacji, które nie były projektowane ze szczególną myślą o zagrożeniach teleinformatycznych.

Liczba cyberataków w światowym lotnictwie systematycznie rośnie od 2018 r.; nasiliły się one szczególnie w trakcie pandemii COVID 19, gdy przestępcy wykorzystali zaburzenia w sektorze lotniczym spowodowane lockdownami. Koszt oszustw na fałszywych stronach internetowych udających strony sektora lotniczego szacuje się na ok. 1 mld dol. rocznie. Coraz częściej dochodzi do ataków ransomware: w 2020 r. zgłoszono 62 takie incydenty. To oznacza, że nie ma tygodnia bez tego rodzaju incydentu. 

W polskim transporcie lotniczym cyberzagrożenie jest niewielkie, a liczba incydentów utrzymuje się na podobnym poziomie od lat: 6 incydentów w 2020 r., 9 incydentów w 2021 r. i 8 incydentów w 2022 r. – wynika z danych CERT Polska.

Światowa branża lotnicza rozumie ryzyka teleinformatyczne i systematycznie przeciwdziała im w skali globalnej. Dobrze funkcjonują podmioty zajmujące się cyberbezpieczeństwem sektora lotniczego w Polsce. Większość podmiotów badanych przez EY, MI i NASK ma specjalny zespół do zarządzania cyberbezpieczeństwem.

Drugim pod względem ryzyka teleinformatycznego jest dynamicznie rozwijający się w ostatnich latach obszar transportu wodnego. Transformacja cyfrowa portów morskich spowodowała, że stały się one częstszym celem cyberprzestępców. Kilkakrotnie obserwowaliśmy paraliż portów w skali globalnej, prowadzący do destabilizacji niektórych funkcji atakowanych państw.

Sektor kolejowy jest w niewielkim stopniu celem cyberataków: do 2020 r. nie zanotowano bezpośrednich ataków na przewoźników, wynika z raportu Agencji Unii Europejskiej  ds. Cyberbezpieczeństwa (ENISA). Będzie się to jednak prawdopodobnie zmieniać wraz z postępującą cyfryzacją tego obszaru. CERT Polska zarejestrował 3 incydenty w krajowym sektorze kolejowym w 2020 r.; rok później było ich już 55. W 2022 r. w związku z wojną na Ukrainie doszło do kilku cyberataków na strony internetowe przewoźników.

Nowe obowiązki wynikające z Dyrektywy NIS2

Liczba podmiotów, które będą zobowiązane do raportowania incydentów zagrożenia teleinformatycznego gwałtownie wzrośnie po implementacji Dyrektywy NIS2, która została przyjęta 28 listopada 2022 r i wejdzie w życie po upływie 21 miesięcy. Nowa legislacja swoim zakresem obejmuje nie tylko wyznaczone przedsiębiorstwa, ale wszystkie średnie i duże organizacje działające we wskazanych sektorach.