Podstawowy poziom cyberdojrzałości w transporcie

Poziom cyberbezpieczeństwa w sektorze transportu wzrósł znacząco w ostatnich latach, zwłaszcza dzięki wdrożeniu ustawy o krajowym systemie cyberbezpieczeństwa. Wszystkie badane podmioty zapewniają ochronę przed cyberatakami na co najmniej podstawowym poziomie – wynika z raportu Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce, przygotowanego przez EY Polska, Ministerstwo Infrastruktury i Państwowy Instytut Badawczy NASK.

Sektor transportu jest jednym z newralgicznych obszarów gospodarki, a postępująca cyfryzacja sprawia, że jest on coraz bardziej podatny na zagrożenia teleinformatyczne. Firma doradcza EY Polska, wspólnie z Ministerstwem Infrastruktury i NASK Państwowym Instytutem Badawczym, zbadały dojrzałość sektora transportu w Polsce w zakresie cyberbezpieczeństwa. Wyniki są zaprezentowane w raporcie Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce.

Poziom cyberbezpieczeństwa w sektorze transportu wzrósł znacząco w ostatnich latach, zwłaszcza dzięki wdrożeniu ustawy o krajowym systemie cyberbezpieczeństwa i przygotowaniom do Dyrektywy NIS2. Nasz raport pokazuje obszary, w których podmioty dokonały ulepszeń i rekomenduje działania umożliwiające dalszy rozwój ochrony przed zagrożeniami teleinformatycznymi, tak aby przygotować się do wymagań Dyrektywy NIS2 – mówi Rafał Weber, Sekretarz Stanu w Ministerstwie Infrastruktury.

Raport przedstawia analizę trzech segmentów transportu – kolejowego, lotniczego i wodnego – w których na podstawie ustawy o krajowym systemie cyberbezpieczeństwa wyznaczono operatorów usług kluczowych.

Z naszej analizy wynika, że wszystkie badane podmioty zapewniają ochronę przed cyberatakami na co najmniej podstawowym poziomie. Część ma wyższy poziom dojrzałości, o czym świadczą chociażby wdrożone programy szkoleń czy systemowe podejście do zarządzania ciągłością działania – mówi Piotr Ciepiela, Partner EY, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii.

Szczególnie dobrze wypadły w tym względzie podmioty w obszarze lotnictwa, gdzie 7 spośród 12 operatorów usług kluczowych posiada wyższą dojrzałość w zakresie cyberbezpieczeństwa.

Niezależnie od raportu EY, MI i NASK, urzędnicy, w ramach działań organu właściwego ds. cyberbezpieczeństwa, skontrolowali już co trzeciego operatora usług kluczowych w sektorze transportu.

Z przeprowadzonych przez nas kontroli wynika, że operatorzy usług kluczowych zarządzają ryzykiem, wdrożyli systemy zarządzania bezpieczeństwem informacji, utrzymują je oraz doskonalą, zgodnie z wymogami ustawy – mówi Rafał Weber.

Lotnictwo świadome ryzyka

Liczba naruszeń bezpieczeństwa teleinformatycznego w sektorze transportu w Polsce wciąż jest niewielka – wynika z danych CERT Polska z lat 2019-2021. Nie przekroczyła ona 1 proc. wszystkich zgłoszonych incydentów w tym okresie.

W skali światowej najbardziej narażony na cyberataki jest sektor lotniczy, który w coraz większym stopniu korzysta z rozwiązań informatycznych – od rezerwacji lotu, poprzez oprogramowanie na lotniskach i w samolotach, po pokładowe systemy informacyjno-rozrywkowe dla pasażerów. Najnowsze systemy są integrowane z systemami informatycznymi poprzednich generacji, które nie były projektowane ze szczególną myślą o zagrożeniach teleinformatycznych.

Liczba cyberataków w światowym lotnictwie systematycznie rośnie od 2018 r.; nasiliły się one szczególnie w trakcie pandemii COVID 19, gdy przestępcy wykorzystali zaburzenia w sektorze lotniczym spowodowane lockdownami. Koszt oszustw na fałszywych stronach internetowych udających strony sektora lotniczego szacuje się na ok. 1 mld dol. rocznie. Coraz częściej dochodzi do ataków ransomware: w 2020 r. zgłoszono 62 takie incydenty. To oznacza, że nie ma tygodnia bez tego rodzaju incydentu.

W polskim transporcie lotniczym cyberzagrożenie jest niewielkie, a liczba incydentów utrzymuje się na podobnym poziomie od lat: 6 incydentów w 2020 r., 9 incydentów w 2021 r. i 8 incydentów w 2022 r. – wynika z danych CERT Polska.

Światowa branża lotnicza rozumie ryzyka teleinformatyczne i systematycznie przeciwdziała im w skali globalnej. Dobrze funkcjonują podmioty zajmujące się cyberbezpieczeństwem sektora lotniczego w Polsce. Większość podmiotów badanych przez EY, MI i NASK ma specjalny zespół do zarządzania cyberbezpieczeństwem.

Są to zespoły interdyscyplinarne, gdzie obok specjalistów z wiedzą techniczną obecni są specjaliści z obszaru zarządzania ryzkiem oraz posiadający wiedzę na temat regulacji prawnych – mówi Piotr Ciepiela.

Drugim pod względem ryzyka teleinformatycznego jest dynamicznie rozwijający się w ostatnich latach obszar transportu wodnego. Transformacja cyfrowa portów morskich spowodowała, że stały się one częstszym celem cyberprzestępców. Kilkakrotnie obserwowaliśmy paraliż portów w skali globalnej, prowadzący do destabilizacji niektórych funkcji atakowanych państw.

Sektor kolejowy jest w niewielkim stopniu celem ataków cybernetycznych: do 2020 r. nie zanotowano bezpośrednich ataków na przewoźników, wynika z raportu Agencji Unii Europejskiej  ds. Cyberbezpieczeństwa (ENISA). Będzie się to jednak prawdopodobnie zmieniać wraz z postępującą cyfryzacją tego obszaru. CERT Polska zarejestrował 3 incydenty w krajowym sektorze kolejowym w 2020 r.; rok później było ich już 55. W 2022 r. w związku z wojną na Ukrainie doszło do kilku ataków cybernetycznych na strony internetowe przewoźników.

Nowe obowiązki

Liczba podmiotów, które będą zobowiązane do raportowania incydentów zagrożenia teleinformatycznego gwałtownie wzrośnie po implementacji Dyrektywy NIS2. Wynika to z szerszego zakresu tego dokumentu, który obejmie wszystkie średnie przedsiębiorstwa w sektorze.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, a także propozycja Dyrektywy NIS2 wprowadzają wiele wyzwań dla podmiotów krajowego systemu cyberbezpieczeństwa we wszystkich sektorach. Warto zawczasu przygotować się na nadchodzące zmiany poprzez ocenę aktualnego poziomu dojrzałości organizacji w obszarze cyberbezpieczeństwa. Dotyczy to nie tylko operatorów usług kluczowych z sektora transportu, ale również innych podmiotów, które mogą zostać objęte nowymi przepisami – mówi Krzysztof Silicki, Zastępca Dyrektora NASK, Dyrektor ds. Cyberbezpieczeństwa i Innowacji.

O badaniu

Ministerstwo Infrastruktury, NASK PIB oraz EY Polska przeprowadziły wspólne badanie dojrzałości sektora transportu w obszarze cyberbezpieczeństwa w kontekście wdrażania w sektorze zapisów ustawy o krajowym systemie cyberbezpieczeństwa, a także przygotowania do nowelizacji jej zapisów i przyjętej w 2022 r. Europejskiej Dyrektywy NIS2. Raport oparty jest na wynikach ankiet z 24 podmiotów – operatorów usług kluczowych wyznaczonych przez Ministerstwo Infrastruktury w sektorze transportu w Polsce obejmującym kolej, lotnictwo i transport wodny.