Zablokowanie ruchu pociągów poprzez system Radio-Stop lub cyberatak na sieć teleinformatyczną PLK jest mało realistyczne a polskie rozwiązania w zakresie bezpieczeństwa IT na kolei są wzorem dla innych państw – zapewnia Ministerstwo Infrastruktury i Budownictwa. Rząd przygotowuje ustawę o cyberbezpieczeństwie, która usprawni działania chroniące kolej przed hakerami.
Przedstawiciele Ministerstwa Cyfryzacji oraz Ministerstwa Infrastruktury i Budownictwa odnieśli się do interpelacji posła PiS Bartłomieja Stawiarskiego, który przedstawił kilka scenariuszy ataku na systemy teleinformatyczne spółek z Grupy PKP. W skrajnym przypadku atak taki mógłby doprowadzić do paraliżu polskiej kolei lub skutkować nawet katastrofą kolejową. Na świecie odnotowano szereg cyberataków na koleje, m.in. Deutsche Bahn czy metro w Korei Południowej.
– Elementem kolejowej infrastruktury krytycznej są przede wszystkim komputerowe urządzenia sterowania ruchem kolejowym w PKP. Ważnym obszarem wymagającym ochrony jest też ciągłość działania usług Grupy PKP wspieranej systemami IT, takich jak: rezerwacja i sprzedaż biletów, wsparcie zarządzania taborem i ruchem kolejowym oraz utrzymanie infrastruktury informatycznej na potrzeby świadczenia usług w kolejowej grupie, ochrona tych elementów pozostawia wiele do życzenia – napisał poseł w interpelacji.
Łatwo zablokować sieć kolejową
Zdaniem parlamentarzysty do zablokowania ruchu pociągów wystarczy zbudować nadajniki systemu Radio–Stop – co jest dość łatwe i nie wymaga dużych nakładów finansowych. Wystarczy umieścić je w kilkudziesięciu newralgicznych punktach na sieci PLK, aby sparaliżować ruch w całym kraju.
– Przed tym nie uchroni nas SOC (Operacyjne Centrum Bezpieczeństwa), ustawodawstwo w zakresie cyberbezpieczeństwa, ani zabezpieczenia sygnaturowe czy dowolne inne. Kolejarze nie zdają sobie sprawy z tych zagrożeń. Podział przedsiębiorstwa PKP na wiele podmiotów sprawił, że nie ma dobrego przepływu informacji pomiędzy nimi - alarmuje Stawiarski.
O bezpieczeństwie informatycznym na kolei dyskutowano podczas "Debaty z Kurierem" w październiku 2016 r. Uczestniczący w niej Piotr Pachutko, dyrektor Biura Bezpieczeństwa w Przewozach Regionalnych zauważył, że podział PKP na wiele spółek spowodował dodatkowe utrudnienia w zakresie wdrażania strategii ochrony przed cyberatakami. Opinię tę podziela poseł, który zauważa problem jaki stanowi niedostateczny przepływ informacji pomiędzy podmiotami operującymi na polskiej sieci kolejowej.
W odpowiedzi na pytanie Stawiarskiego, minister cyfryzacji Anna Streżyńska wskazała, że na początku 2016 r. przekazano do uzgodnień międzyresortowych oraz publicznych konsultacji założenia do Strategii Cyberbezpieczeństwa RP. – Po zgłoszeniu uwag przez interesariuszy, Ministerstwo Cyfryzacji przystąpiło to tworzenia finalnej wersji dokumentu. W chwili obecnej trwają intensywne prace nad jego ostatecznym kształtem – napisała Streżyńska.
Będzie ustawa o cyberbezpieczeństwie
Ministerstwo Cyfryzacji przygotowuje również projekt ustawy o krajowym systemie cyberbezpieczeństwa. Projekt ten określi zasady tworzenia i funkcjonowania w Polsce krajowego systemu cyberbezpieczeństwa. Ustawa będzie implementacją dyrektywy PE i Rady w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w obrębie Unii (dyrektywa NIS).
Anna Streżyńska zauważa, że Grupa PKP składa się z samodzielnych przedsiębiorców i każdy z nich jest zobowiązany zapewnić bezpieczeństwo swoich sieci informatycznych. Do chwili przyjęcia ustawy o krajowym systemie cyberbezpieczeństwa Ministerstwo Cyfryzacji nie posiada środków prawnych pozwalających wpłynąć na zapewnienie cyberbezpieczeństwa kolei.
Polskie systemy wzorem dla Europy
Więcej szczegółowych informacji działaniach spółek z grupy PKP udzielił Kazimierz Smoliński sekretarz stanu w ministerstwie infrastruktury i budownictwa, który zwrócił uwagę m.in. na działania PKP PLK. Narodowy zarządca infrastruktury od kilkunastu lat wdraża rozwiązania projektowane w zakresie automatyki i telekomunikacji, które przewidują możliwości stosowania (najczęściej automatycznie bez straty informacji) alternatywnej drogi transmisyjnej. Tego typu rozwiązania implementowane są praktycznie na wszystkich modernizowanych liniach kolejowych i we wszystkich uruchamianych systemach przekazywania informacji – zapewnia Smoliński.
Jak zauważa przedstawiciel MIB, większość systemów pracujących na potrzeby sterowania ruchem kolejowym ma strukturę rozsianą. Wykorzystywane są wyizolowane fizycznie własne kable miedziane i światłowodowe, co separuje ww. systemy od otoczenia zewnętrznego (tzw. chmury). Dodatkowo sterowanie wyświetlaniem sygnałów na semaforach jest kontrolowane na kilku poziomach, a systemy instalowane przez spółkę zostały przyjęte do wykorzystania jako bezpieczne w całej Europie.
Radio-Stop identyfikuje nadajniki
Przedstawiony przez posła Stawiarskiego scenariusz blokady polskiej sieci kolejowej przez system Radio-Stop jest mało realistyczny. – Spółka (PLK – przyp. red.) wprowadziła automatyczną identyfikację nadajnika wysyłającego taki sygnał. Ponadto spółka wdraża obecnie system ERTMS/GSM-R, który jest w całości systemem cyfrowym, co znacznie utrudnia włamanie się do niego. W związku z tym nie zakłada się obecnie modernizacji systemu radiołączności analogowej, gdyż wymagałoby to wymiany kilkunastu tysięcy radiotelefonów i prawdopodobnie spotkałoby się z odmową przydzielenia pasma dla transmisji cyfrowej ze strony Urzędu Kontroli Elektronicznej – napisał Smoliński w odpowiedzi na interpelację.
PLK wdrożyła także System Zarządzania Bezpieczeństwem SMS, który obejmuje zidentyfikowaną grupę zagrożeń związanych z cyberatakami. W ramach procedur zarzadzania kryzysowego zostały opracowane wytyczne dotyczące identyfikacji i zgłaszania incydentów związanych z awariami kolejowych systemów teleinformatycznych do Rządowego Centrum Bezpieczeństwa oraz CERT ABW.
System sprzedaży biletów bezpieczny
Przedstawiciel MIB przedstawił też stan bezpieczeństwa IT w PKP Informatyka. Jak zapewnił, spółka ta posiada dedykowaną jednostkę bezpieczeństwa IT, która ma kompetencje oraz zasoby ludzkie i techniczne, pozwalające na aktywną ochronę systemów. Komórka ta obejmuje też system sprzedaży i rezerwacji biletów. Wszystkie systemy PKP Informatyka zostały ulokowane w centrum danych o "najwyższym stopniu zabezpieczeń" – zapewnia Smoliński.
Z kolei PKP SA zajmuje się głównie koordynowaniem działań poszczególnych podmiotów z grupy. Powołano w tym celu zespół ds. zapewnienia ciągłości działania systemu sprzedaży biletów, wdrożono system zarządzania bezpieczeństwem informacji, a także podjęto współpracę z Ministerstwem Cyfryzacji oraz Rządowym Centrum Bezpieczeństwa w zakresie wymiany informacji zagrożeniach i cyberatakach.
