– Z naszej analizy wynika, że wszystkie badane podmioty zapewniają ochronę przed cyberatakami na co najmniej podstawowym poziomie. Część ma wyższy poziom dojrzałości, o czym świadczą chociażby wdrożone programy szkoleń czy systemowe podejście do zarządzania ciągłością działania – mówi Piotr Ciepiela, Partner EY, Globalny Lider Bezpieczeństwa Architektury i Nowoczesnych Technologii.
Szczególnie dobrze wypadły w tym względzie podmioty w obszarze lotnictwa, gdzie 7 spośród 12 operatorów usług kluczowych posiada wyższą dojrzałość w zakresie cyberbezpieczeństwa.
Niezależnie od raportu EY, MI i NASK, urzędnicy, w ramach działań organu właściwego ds. cyberbezpieczeństwa, skontrolowali już co trzeciego operatora usług kluczowych w sektorze transportu.
– Z przeprowadzonych przez nas kontroli wynika, że operatorzy usług kluczowych zarządzają ryzykiem, wdrożyli systemy zarządzania bezpieczeństwem informacji, utrzymują je oraz doskonalą, zgodnie z wymogami ustawy – mówi Rafał Weber.
Lotnictwo świadome ryzyka
Liczba naruszeń bezpieczeństwa teleinformatycznego w sektorze transportu w Polsce wciąż jest niewielka – wynika z danych CERT Polska z lat 2019-2021. Nie przekroczyła ona 1 proc. wszystkich zgłoszonych incydentów w tym okresie.
W skali światowej najbardziej narażony na cyberataki jest sektor lotniczy, który w coraz większym stopniu korzysta z rozwiązań informatycznych – od rezerwacji lotu, poprzez oprogramowanie na lotniskach i w samolotach, po pokładowe systemy informacyjno-rozrywkowe dla pasażerów. Najnowsze systemy są integrowane z systemami informatycznymi poprzednich generacji, które nie były projektowane ze szczególną myślą o zagrożeniach teleinformatycznych.
Liczba cyberataków w światowym lotnictwie systematycznie rośnie od 2018 r.; nasiliły się one szczególnie w trakcie pandemii COVID 19, gdy przestępcy wykorzystali zaburzenia w sektorze lotniczym spowodowane lockdownami. Koszt oszustw na fałszywych stronach internetowych udających strony sektora lotniczego szacuje się na ok. 1 mld dol. rocznie. Coraz częściej dochodzi do ataków ransomware: w 2020 r. zgłoszono 62 takie incydenty. To oznacza, że nie ma tygodnia bez tego rodzaju incydentu.
W polskim transporcie lotniczym cyberzagrożenie jest niewielkie, a liczba incydentów utrzymuje się na podobnym poziomie od lat: 6 incydentów w 2020 r., 9 incydentów w 2021 r. i 8 incydentów w 2022 r. – wynika z danych CERT Polska.
Światowa branża lotnicza rozumie ryzyka teleinformatyczne i systematycznie przeciwdziała im w skali globalnej. Dobrze funkcjonują podmioty zajmujące się cyberbezpieczeństwem sektora lotniczego w Polsce. Większość podmiotów badanych przez EY, MI i NASK ma specjalny zespół do zarządzania cyberbezpieczeństwem.
– Są to zespoły interdyscyplinarne, gdzie obok specjalistów z wiedzą techniczną obecni są specjaliści z obszaru zarządzania ryzkiem oraz posiadający wiedzę na temat regulacji prawnych – mówi Piotr Ciepiela.
Drugim pod względem ryzyka teleinformatycznego jest dynamicznie rozwijający się w ostatnich latach obszar transportu wodnego. Transformacja cyfrowa portów morskich spowodowała, że stały się one częstszym celem cyberprzestępców. Kilkakrotnie obserwowaliśmy paraliż portów w skali globalnej, prowadzący do destabilizacji niektórych funkcji atakowanych państw.
Sektor kolejowy jest w niewielkim stopniu celem ataków cybernetycznych: do 2020 r. nie zanotowano bezpośrednich ataków na przewoźników, wynika z raportu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Będzie się to jednak prawdopodobnie zmieniać wraz z postępującą cyfryzacją tego obszaru. CERT Polska zarejestrował 3 incydenty w krajowym sektorze kolejowym w 2020 r.; rok później było ich już 55. W 2022 r. w związku z wojną na Ukrainie doszło do kilku ataków cybernetycznych na strony internetowe przewoźników.
Nowe obowiązki
Liczba podmiotów, które będą zobowiązane do raportowania incydentów zagrożenia teleinformatycznego gwałtownie wzrośnie po implementacji Dyrektywy NIS2. Wynika to z szerszego zakresu tego dokumentu, który obejmie wszystkie średnie przedsiębiorstwa w sektorze.
– Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, a także propozycja Dyrektywy NIS2 wprowadzają wiele wyzwań dla podmiotów krajowego systemu cyberbezpieczeństwa we wszystkich sektorach. Warto zawczasu przygotować się na nadchodzące zmiany poprzez ocenę aktualnego poziomu dojrzałości organizacji w obszarze cyberbezpieczeństwa. Dotyczy to nie tylko operatorów usług kluczowych z sektora transportu, ale również innych podmiotów, które mogą zostać objęte nowymi przepisami – mówi Krzysztof Silicki, Zastępca Dyrektora NASK, Dyrektor ds. Cyberbezpieczeństwa i Innowacji.
O badaniu
Ministerstwo Infrastruktury, NASK PIB oraz EY Polska przeprowadziły wspólne badanie dojrzałości sektora transportu w obszarze cyberbezpieczeństwa w kontekście wdrażania w sektorze zapisów ustawy o krajowym systemie cyberbezpieczeństwa, a także przygotowania do nowelizacji jej zapisów i przyjętej w 2022 r. Europejskiej Dyrektywy NIS2. Raport oparty jest na wynikach ankiet z 24 podmiotów – operatorów usług kluczowych wyznaczonych przez Ministerstwo Infrastruktury w sektorze transportu w Polsce obejmującym kolej, lotnictwo i transport wodny.