EY oznacza globalną organizację i może odnosić się do jednej lub więcej firm członkowskich Ernst & Young Global Limited, z których każda stanowi odrębny podmiot prawny. Ernst & Young Global Limited, brytyjska spółka z ograniczoną odpowiedzialnością, nie świadczy usług na rzecz klientów.
Zobacz wszystkie wyniki dla
'
'
Brak wyników wyszukiwania
Ogólne
Zobacz wszystkoPeople
Zobacz wszystkoOstatnie wyszukiwania
Polskie firmy związane z transportem przygotowują się do wdrożenia unijnej dyrektywy NIS2, która ma znacząco zwiększyć zakres cyberbezpieczeństwa. Dla wielu z nich będzie to jednak spore wyzwanie i duże koszty, niezbędne stanie się też całkowicie nowe podejście do tej tematyki.
O tym, jak sektorowo można przygotować się na wyzwania i szanse związane z wdrożeniem założeń dyrektyw NIS odpowiada Kamil Pszczółkowski, doświadczony ekspert EY, który od ponad 17 lat zajmuje się cyberbezpieczeństwem i programami transformacyjnymi.
– Jak może Pan ocenić poziom wiedzy i podejście do konieczności dostosowania się do dyrektywy NIS2 w polskich firmach? Pytam się, bo usłyszałem w kilku źródłach, że w branży morskiej i w branżach pokrewnych dominuje podejście "będziemy się upierali, że nie podlegamy pod dyrektywę i zobaczymy, czy będzie dalej"...
Cyberataki na sektor transportu mogą zakłócić lub zamknąć całe systemy i/lub usługi, w tym systemy rezerwacyjne, np. kolejowe lub lotnicze, ujawnić lub zablokować dostęp do danych wrażliwych, zagrozić bezpieczeństwu personelu i pasażerów oraz wpłynąć na łańcuchy dostaw we wszystkich sektorach. Mówiąc o sektorze transportu nie należy zapominać o podsektorze motoryzacyjnym, dla których zewnętrzni dostawcy łańcucha dostaw mają kluczowe znaczenie. Pojazdy pasażerskie z wbudowaną łącznością stają się coraz bardziej popularne a postęp w technologii samochodowej tworzy ogromne pole do ataku, który może objąć miliony produktów końcowych poruszających się z dużą prędkością.
Ponad trzy lata temu ćwiczyliśmy wdrożenie pierwszej dyrektywy NIS, którą NIS2 teraz zastąpi. Nie jest to zatem zupełna nowość, jednak nowa legislacja wprowadza szereg ram i regulacji, których do tej pory nie było, a które mają wpływ na cyfrowy krajobraz. Wzrost świadomości polskich przedsiębiorców w obszarze cyberbezpieczeństwa w ostatnich latach wymusiły chociażby wydarzenia z ostatniego okresu, w szczególności pandemia czy wojna na Ukrainie. W przeprowadzonym przez EY, Ministerstwo Infrastruktury oraz NASK BIP badaniu „Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce. Cyberbezpieczeństwo w sektorze transportu w Polsce – czy jesteśmy gotowi na nową dyrektywę NIS 2?”, aż siedmiu na dziesięciu przebadanych operatorów usług kluczowych ma świadomość zmian wprowadzanych przez dyrektywę NIS2. Jako największe wyzwania definiują zapewnienie niezawodności i bezpieczeństwa cyfrowego sieci i systemów informatycznych, zapewnienie odpowiedniego poziomu przygotowania spółki na wystąpienie poważnych incydentów bezpieczeństwa sieci o szerokim zasięgu, zapewnienie działania wewnętrznego SOC w systemie 24/7/365, brak środków na modernizacje i rozbudowę usług wchodzących w skład usługi kluczowej, problemy z zapewnieniem bezpieczeństwa komunikacji sieciowej spowodowanej rozproszeniem organizacji, słabą infrastrukturę teleinformatyczną województwa i brak inwestycji operatorów telekomunikacyjnych w łącza światłowodowe poza dużymi miastami, skuteczną analizę ryzyka oraz zabezpieczenie budżetowe i osobowe.
Podejście polskich firm do konieczności wdrożenia odpowiednich wytycznych wynikających z dyrektywy NIS2 może się oczywiście różnić w zależności od sektora działalności i rozmiaru firmy. Szczególny wysiłek będą musiały podjąć małe i średnie przedsiębiorstwa, w których bariera w postaci ograniczonych zasobów finansowych i kadrowych potrzebnych do implementacji odpowiednich środków ochrony będzie zapewne trudniejsza do pokonania niż w przypadku dużych firm.
Zapisz się na newsletter „EY Technology”
Otrzymuj comiesięczny zestaw najciekawszych artykułów, raportów i analiz z zakresu technologii dla biznesu.
– W sektorze transportu dyrektywa NIS2 wymaga m.in. obowiązkowej weryfikacji zewnętrznych dostawców, ochrony wymiany danych w czasie rzeczywistym i dodatkowych wydatków na zwiększenie bezpieczeństwa. Który z tych wymogów może być szczególnym wyzwaniem dla firm z branży?
Największe obawy stanowią tutaj kwestie finansowe – nie jest tajemnicą, że dostosowywanie się do wymogów dyrektywy wymagać będzie zwiększenia wydatków w obszarze cyberbezpieczeństwa. Szczególnie dotyczy to sektorów, które do tej pory nie były objęte dotychczasową dyrektywą. Wdrożenie NIS2 stanowi duże wyzwanie technologiczne, co za tym idzie wymagać będzie również zwiększenia wydatków na zasoby ludzkie, a konkretnie wsparcie specjalistów wyposażonych w odpowiednie kompetencje.
Największą zmianą wprowadzoną przez dyrektywę NIS2 będzie tzw. samoidentyfikacja podmiotów. Wyzwanie stanowić będą również zmiany w zakresie wymagań dla operatorów – poza szacowaniem ryzyka wprowadzony został obowiązek zapewnienia bezpieczeństwa łańcucha dostaw, notyfikacji zagrożeń także do odbiorców usług, a nie tylko incydentów oraz zapewnienia szyfrowania. Rozszerzeniu uległa także sama definicja incydentu poważnego (significant). Przełoży się to prawdopodobnie na o wiele szerszą definicje incydentu w prawie krajowym i co za tym idzie, obowiązek zgłaszania większej ilości incydentów jako tych poważnych. Ważnym elementem dyrektywy jest także powiązanie zagadnień związanych z zarządzaniem kryzysowym z cyberbezpieczeństwem, zarówno na poziomie EU, jak i na poziomie krajów członkowskich. Ostatnią istotną zmianą jest kwestia certyfikacji. Dyrektywa NIS2 pozwala na obowiązkową certyfikację produktów i usług ICT w sektorach nią objętych.
– Zbierając materiały do artykułu, rozmawiałem z ekspertami ds. cyberbezpieczeństwa i wybranymi firmami z branży. Usłyszałem, że w ostatnim czasie atakie hakerskie stały się coraz bardziej skomplikowane i wyrafinowane i jeśli wcześniej firmy zajmujące się szeroko rozumianym transportem były atakowane przypadkowo albo w celu okupu, to nowe zagrożenia służą głównie utrudnieniu działalności i duża ich część może być realizowana przez obce służby. Czy podzielają Państwo taką obserwację?
Poziom cyberbezpieczeństwa w sektorze transportu wzrósł znacząco w ostatnich latach, zwłaszcza dzięki wdrożeniu ustawy o krajowym systemie cyberbezpieczeństwa. Sektor transportu jest jednym z newralgicznych obszarów gospodarki, a postępująca cyfryzacja sprawia, że jest on coraz bardziej podatny na zagrożenia teleinformatyczne. Liczba incydentów w sektorze transportu w Polsce wciąż jest niewielka. Dane z raportów rocznych CERT Polska pokazują, że w ostatnich 3 latach (2019-2021) nie przekraczała 1% wszystkich zgłoszonych incydentów. Sytuacja w niewielkim stopniu uległa zmianie w 2022 r. w związku z wojną na Ukrainie. Niewielka aktywność przestępców nie świadczy jednak o wysokim poziomie cyberbezpieczeństwa przedsiębiorstw podsektora kolejowego.
Wspomniana wcześniej pandemia szczególnie uderzyła szczególnie w podsektor lotniczy, który z każdym rokiem w coraz większym stopniu korzysta z rozwiązań informatycznych dotyczących całego łańcucha dostaw. Coraz częściej branża korzysta również z automatyzacji, co stwarza pole dla kolejnych zagrożeń. Lock-down, który miał miejsce w wielu krajach, dla linii lotniczych oznaczał konieczność modyfikowania siatki połączeń, masowych zwrotów pieniędzy za odwołane loty, wprowadzenia rozwiązań typu vouchery, kupony i zmiana zasad w programach lojalnościowych. Scenariusze tych zachowań wykorzystali przestępcy. W 2020 r. EATM-CERT zidentyfikował 335 fałszywych stron internetowych, z czego 280 podszywało się pod IATA i stowarzyszenie Airlines for Europe (A4E), a ich pojawienie się w Internecie zbiegało się w czasie z lock-downem, ogłaszanym w kolejnych państwach. Łącznie szacuje się koszt oszustw na fałszywych stronach internetowych na ok. 1 mld dolarów rocznie.
W samym transporcie lotniczym w ostatnich latach zaobserwowano szereg cyberataków, chociażby atak ransomware na indyjskie linie lotnicze SpiceJet w maju 2022 roku, atak na oprogramowanie software, dostarczane przez firmę zewnętrzną dla SunWing Airlines w kwietniu 2022 r. czy udany atak na Rosyjską Federalną Agencję Transportu Russian CAA w marcu 2022 roku. W 2015 r. miał miejsce atak DDoS na Polskie Linie Lotnicze LOT, w efekcie którego odwołano 10 lotów, a 15 uległo opóźnieniu. Również w przypadku transportu wodnego można z łatwością przytoczyć liczne przykłady ataków, m. in. cyberatak na port w Antwerpii, kiedy w 2011 r. przestępcy dokonali włamania na systemy IT kontrolujące transport i lokalizacje kontenerów, co zostało wykorzystane do przemytu narkotyków, czy atak ransomware NotPetya na Maersk, w wyniku, którego zdestabilizowany został port w Rotterdamie a firma oszacowała stratę na ok. 200-300mln. USD. Jest to też jeden z przykładów, gdzie podejrzewa się zaangażowanie grupy hackerskiej sponsorowanej przez Rosję. Podobnie w przypadku cyberataku SolarWinds z 2020 r. przypisywanego jednej z rosyjskich grup hackerskich. Innym przykładem sponsorowanych przez państwo cyberataków, uderzającym w infrastrukturę krytyczną, był Stuxnet w 2010 r. Jego celem były systemy kontroli przemysłowej, w tym te używane w irańskich obiektach nuklearnych. W czerwcu 2021 r. pojawiły się doniesienia o ataku na największą sieć transportową w Ameryce Północnej Metropolitan Transportation Authority (MTA), o który eksperci ds. cyberbezpieczeństwa podejrzewają chińskie ugrupowania cyberprzestępcze. „Operation ShadowHammer” z 2023 r. jest chyba jednym z najnowszych ataków na łańcuch dostaw. Zaatakowano wówczas narzędzie LiveUpdate używane przez miliony urządzeń ASUS. Ten wyrafinowany atak pozostawał niewykryty przez wiele miesięcy.
Również ENISA potwierdza nasilające się w ostatnich latach ataki haktywistów. Według najnowszych raportów stanową one aż 1/4 wszystkich cyberataków i najczęściej mają charakter ataków DDoS wycelowanych w europejskie lotniska, koleje i władze transportowe. Z kolei podmiotom sponsorowanym przez państwo częściej przypisywano działania ukierunkowane na sektor morski lub instytucje rządowe odpowiedzialne za transport.
Podsumowanie
Dyrektywa NIS2 wprowadza wiele wyzwań dla podmiotów krajowego systemu cyberbezpieczeństwa we wszystkich sektorach. Warto z wyprzedzeniem przygotować się na nadchodzące zmiany poprzez ocenę aktualnego poziomu dojrzałości organizacji w obszarze cyberbezpieczeństwa. Dotyczy to nie tylko operatorów usług kluczowych z sektora transportu, ale również innych podmiotów, które mogą zostać objęte nowymi przepisami, które mają na celu zwiększenie poziomu bezpieczeństwa w Unii Europejskiej.
Fragmenty tekstu pojawiły się w: 'Namiary na Morze i Handel', 20/2023
Jak EY może pomóc
-
Misją jednostki OT Competence Hub jest pomoc firmom przemysłowym w transformacji do Industry 4.0.
Przeczytaj więcej -
Podstawową misją SOC jest wykrywanie zdarzeń w sieci stanowiących zagrożenie dla organizacji i reagowanie na nie. Nasz zespół koncentruje się na dostarczaniu wysokiej jakości usług SOC dostosowanych do wymagań i środowiska Klienta skoncentrowanymi na środowisku automatyki przemysłowej (OT).
Przeczytaj więcej
Jak EY może pomóc
-
Misją jednostki OT Competence Hub jest pomoc firmom przemysłowym w transformacji do Industry 4.0.
Przeczytaj więcej -
Podstawową misją SOC jest wykrywanie zdarzeń w sieci stanowiących zagrożenie dla organizacji i reagowanie na nie. Nasz zespół koncentruje się na dostarczaniu wysokiej jakości usług SOC dostosowanych do wymagań i środowiska Klienta skoncentrowanymi na środowisku automatyki przemysłowej (OT).
Przeczytaj więcej