Kolej w Polsce celem numer jeden. Przeciwnik jest nieuchwytny

Brakuje pełnych statystyk, ale na kolei dochodzi do różnego rodzaju cyberataków, co potwierdzają zarówno dane Ministerstwa Cyfryzacji, jak i informacje przekazane bezpośrednio przez przewoźników. Jak wskazuje dr inż. Wojciech Gamon, członek zarządu Instytutu Transportu Kolejowego, wiele systemów kolejowych jest starych i nie było projektowanych z myślą o bezpieczeństwie cyfrowym. Jednocześnie spółki podejmują działania chroniące przed cyberatakami. I nie są to jedynie zabezpieczenia informatyczne.
Dr inż. Wojciech Gamon przekonuje, że z perspektywy kolei największym wyzwaniem są dziś próby zakłócania kluczowych systemów informatycznych.Dr inż. Wojciech Gamon przekonuje, że z perspektywy kolei największym wyzwaniem są dziś próby zakłócania kluczowych systemów informatycznych.
Źródło zdjęć: © Polska Press Grupa | Adam Jastrzębowski/Polska Press
Dorota Mariańska

W tym artykule:

Zwiększone zainteresowanie grup APT

Ministerstwo Cyfryzacji zapytane o skalę cyberataków na kolei poinformowało, że "w tym roku zaobserwowano kilkanaście ukierunkowanych ataków DDoS na spółki z sektora transportowego, w tym kolejowego". DDoS to atak na system komputerowy lub usługę sieciową, który uniemożliwia ich działanie. Odbywa się to poprzez zajęcie wszystkich wolnych zasobów. Atak tego rodzaju przeprowadzany jest równocześnie z wielu komputerów.

Wstydliwy zakątek w polskim mieście. Zdjęli szpecące ogrodzenie, a tam niespodzianka

Jak wskazało MC, "dodatkowe zagrożenie dla sektora i jego pracowników niosą ataki phishingowe, w tym zwłaszcza próby wyłudzenia danych, ale także dystrybucji złośliwego oprogramowania w wewnętrznych systemach".

- Jeśli chodzi o podsumowanie incydentów za 2025 rok, pełne i dokładniejsze dane będą dostępne po opublikowaniu rocznych raportów, co nastąpi w kolejnym roku - przekazała Strefie Biznesu Monika Gembicka z Biura Komunikacji Ministerstwa Cyfryzacji.

Przyjrzyjmy się zatem, jak to wyglądało wcześniej. Jak wynika z danych CSIRT GOV, w 2024 roku ataki na łańcuch dostaw stanowiły istotne, stale utrzymujące się zagrożenie. Sektor transportu, kolejowy, ale i lotniczy, był jednym z głównych celów grup APT.

- Według Raportu o stanie bezpieczeństwa cyberprzestrzeni RP w 2024 r. istotnym obszarem wrogiej aktywności w cyberprzestrzeni RP były zagrożenia związane z działaniami grupy APT28, znanej także jako Fancy Bear - kojarzonej z Głównym Zarządem Wywiadowczym Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej - GRU. Zgodnie z raportem dobór celów przez tę grupę motywowany był potrzebami cyberszpiegowskimi, a obserwowane ataki były ukierunkowane przede wszystkim na administrację rządową oraz sektor energetyczny i transportowy w Polsce - wyjaśnia Monika Gembicka.

Natomiast CSIRT NASK odnotował w 2024 r. łącznie 565 incydentów w sektorze transportu, co stanowiło 0,5 proc. wszystkich obsłużonych incydentów. Dla porównania w 2023 r. były to w sumie 492 incydenty, które odpowiadały 0,61 proc. wszystkich obsłużonych incydentów.

Przy czym, jak wskazuje Oktawian Góral z Zespołu Public Relations i Komunikacji Zewnętrznej NASK, incydenty w sektorze kolejnictwa są zbliżone do tego co widzimy generalnie w polskich firmach.

- Mam tu na myśli phishing i oszustwa. Notowaliśmy także krótkie awarie systemów biletowych czy wystawionych do internetu systemów monitoringu pociągów, natomiast, co warto podkreślić, nie było to nic, co powodowałoby istotne zakłócenia w ruchu pociągów. Jednocześnie należy zauważyć zwiększone zainteresowanie grup APT polską koleją w związku z wojną w Ukrainie - podkreśla Oktawian Góral.

Nie bez znaczenia jest również to, że w ostatnich latach w całej Europie rośnie liczba cyberataków wymierzonych w sektor kolejowy. Dane Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) pokazują, że ok. 20 proc. incydentów w transporcie dotyczy kolei. Do tego nasilają się próby blokowania systemów i wyłudzania danych.

- W Polsce brak pełnych statystyk, ale odnotowano pojedyncze przypadki zakłóceń łączności i ingerencji w systemy techniczne, co pokazuje, że zagrożenie jest realne także na naszym rynku - mówi dr inż. Wojciech Gamon, członek zarządu Instytutu Transportu Kolejowego.

Największym wyzwaniem pozostaje rosnąca złożoność zagrożeń i ich ilość

O skalę cyberataków zapytaliśmy również bezpośrednio przewoźników kolejowych.

- Na przestrzeni lat spółka odnotowuje różnego rodzaju cyberataki. Ochrona przed nimi obejmuje m.in. zastosowanie oprogramowania zabezpieczającego, takiego jak systemy monitorujące, antywirusowe, zaawansowane zabezpieczenia Microsoft, zapory sieciowe, zarządzanie podatnościami czy regularne aktualizowanie oprogramowania, stosowanie silnych, unikalnych haseł oraz uwierzytelniania dwuskładnikowego. Odnotowywane były różnego rodzaju ataki typu ransomware, malware, phishing oraz DoS/DDoS - informuje Maciej Dutkiewicz, rzecznik prasowy PKP Intercity.

Jak przyznaje, głównym wyzwaniem w zakresie cyberbezpieczeństwa jest dostosowanie się do dynamicznie zmieniających się zagrożeń i zaawansowanych technik cyberataków, prowadzonych także przez organizacje powiązane z państwami.

- Spółka wykorzystuje szeroki wachlarz zabezpieczeń systemów odpowiedzialnych za zarządzanie ruchem pociągów oraz działań operacyjnych, w tym systemów handlowych. Prowadzimy programy szkoleniowe, skierowane zarówno do nowo przyjmowanych pracowników jak i tych zatrudnionych, w szerokim zakresie bezpieczeństwa, w tym uwzględniające cyberbezpieczeństwo. Wykorzystując wewnętrzne narzędzia, pracownicy są informowani na bieżąco o zagrożeniach, zaleceniach i rekomendacjach dotyczących cyberbezpieczeństwa - tłumaczy Maciej Dutkiewicz.

Z kolei na pytanie czy w 2023, 2024 oraz 2025 r. pojawiały się cyberataki, Koleje Małopolskie odpowiedziały: "Tak, odnotowaliśmy ataki w obszarze posiadanej infrastruktury IT organizacji. Zdarzenia zostały zabezpieczone".

- Spółka Koleje Małopolskie stosuje zabezpieczenia infrastruktury IT oraz zaawansowane systemy monitorujące, które zbierają i analizują w czasie rzeczywistym logi oraz zdarzenia z całej infrastruktury. Regularnie uczestniczymy w szkoleniach z zakresu cyberbezpieczeństwa. Szczególnie skupiamy się na szkoleniach i konferencjach organizowanych przez branżę transportową. Natomiast dla pracowników prowadzimy platformę e-learningową oraz cyklicznie organizujemy planowane scenariusze ataków - przekazał również Departament Promocji i PR Kolei Małopolskich.

Natomiast zespół prasowy Polregio podał, że spółka w latach 2023-2025 nie odnotowała cyberataków zagrażających infrastrukturze informatycznej.

- Sporadycznie dochodziło do przypadków wzmożonego ruchu sieciowego, jednak dzięki obowiązującym w spółce zabezpieczeniom nie wpłynęły one na ciągłość działania naszych systemów - zaznacza jednak Polregio.

Przewoźnik wskazał jednocześnie, że w ostatnich latach zrealizował wiele inwestycji, które zwiększyły jego bezpieczeństwo pod kątem informatycznym.

- Zamierzamy nadal rozwijać się w tym obszarze oraz kontynuować programy szkoleniowe dla pracowników. Chcemy również zacieśniać współpracę z innymi spółkami kolejowymi oraz podtrzymywać proces wymiany wiedzy z ekspertami i wiodącymi firmami - zapewnia zespół prasowy Polregio.

Koleje Mazowieckie również podają, że nie wystąpiły istotne incydenty w zakresie bezpieczeństwa informacji oraz przerwy w działaniu systemów teleinformatycznych. Natomiast "w związku ze wzrostem ilości prób cyberataków zostały wdrożone lub zaktualizowane zabezpieczenia obejmujące w swoim zakresie: uwierzytelnianie wieloskładnikowe (MFA), zapory sieciowe nowej generacji, systemy IPS/IDS, kontrolę dostępu na zasadzie minimalnych uprawnień czy kontrolę dostępu (ACL, RBAC)."

- Podjęliśmy również tożsame działania w odniesieniu do segmentacji sieci, szyfrowania transmisji danych (SSL/TLS, VPN), ochrony antywirusowej, monitoringu infrastruktury teleinformatycznej, backupów, aktualizacji systemów oraz systemów do monitoringu i analizy zdarzeń (SIEM/SOAR) - wyjaśnia Mateusz Kamola z Biura Rzecznika Prasowego Kolei Mazowieckich.

Jak ocenia, największym wyzwaniem pozostają rosnąca złożoność zagrożeń i ich ilość, ciągłe zmiany metod ataków opartych o sztuczną inteligencję oraz podatność pracowników na socjotechnikę.

- Regularnie realizowane są szkolenia z zakresu cyberbezpieczeństwa, skierowane zarówno do pracowników, jak i kadry zarządzającej. Dodatkowo prowadzone są cykliczne kampanie informacyjne, mające na celu podnoszenie świadomości użytkowników w obszarze bezpieczeństwa informacji. Nasza spółka współpracuje z zewnętrznymi ekspertami oraz wyspecjalizowanymi firmami w zakresie audytów bezpieczeństwa oraz testów penetracyjnych - wylicza Mateusz Kamola.

A jak to wygląda w przypadku PKP SKM w Trójmieście? Ze względów bezpieczeństwa, spółka, nie ujawnia szczegółowych informacji dotyczących charakteru cyberataków, zastosowanych zabezpieczeń ani procedur reagowania.

- Takie dane mogłyby zostać wykorzystane przez grupy zajmujące się tego typu działalnością - podkreśla Marcin Józefowicz, rzecznik prasowy PKP Szybka Kolej Miejska w Trójmieście.

- Możemy natomiast potwierdzić, że spółka odnotowuje zdarzenia o charakterze cybernetycznym, a zwiększoną aktywność w tym obszarze obserwujemy od wybuchu wojny na Ukrainie - dodaje.

Jak zapewnia, wszystkie wykryte zdarzenia są analizowane i obsługiwane zgodnie z obowiązującymi procedurami bezpieczeństwa.

- Do tej pory nie miały one wpływu na ciągłość funkcjonowania spółki ani bezpieczeństwo pasażerów - zaznacza Marcin Józefowicz.

Podkreślając przy tym, że przewoźnik cały czas wzmacnia zabezpieczenia, zarówno poprzez rozwój narzędzi technologicznych, jak i regularne szkolenia kadry pracowniczej.

- Szkolenia z zakresu cyberbezpieczeństwa prowadzone są co roku, obejmują zarówno pracowników działów IT, jak i kadrę administracyjną, ze szczególnym uwzględnieniem osób nowo zatrudnionych - podsumowuje rzecznik prasowy PKP Szybka Kolej Miejska w Trójmieście.

"W ostatnich latach obserwujemy coraz częstsze próby wykorzystania tzw. ludzkiego czynnika"

Dr inż. Wojciech Gamon przekonuje, że z perspektywy kolei największym wyzwaniem są dziś próby zakłócania systemów informatycznych, które wspierają codzienne funkcjonowanie infrastruktury i przewozów.

- To mogą być ataki polegające na blokowaniu dostępu do danych lub systemów, próby kradzieży informacji o pasażerach czy harmonogramach, a także działania mające na celu przeciążenie sieci i unieruchomienie usług. Osobną kategorią są zagrożenia dotyczące systemów technicznych - takich jak sterowanie ruchem czy urządzenia przytorowe. W ostatnich latach obserwujemy też coraz częstsze próby wykorzystania tzw. ludzkiego czynnika- np. fałszywe wiadomości e-mail, które mają nakłonić pracownika do kliknięcia w podejrzany link. Dlatego oprócz technologii ważne jest też szkolenie i świadomość personelu - precyzuje członek zarządu Instytutu Transportu Kolejowego.

W jego ocenie największym wyzwaniem jest to, że wiele systemów kolejowych jest starych i nie było projektowanych z myślą o bezpieczeństwie cyfrowym, więc ich modernizacja i aktualizacje są trudne. Dodatkowo różne zespoły - IT i techniczne - mają czasem różne priorytety, a brak wyspecjalizowanego personelu i skomplikowany łańcuch dostaw utrudniają szybkie reagowanie na zagrożenia. Dlatego, jak podkreśla ekspert, ważne są odpowiednie finansowanie zabezpieczeń i stała współpraca z instytucjami państwowymi oraz innymi operatorami, aby skutecznie chronić ruch kolejowy.

- Operatorzy kolejowi w Polsce mają przygotowane plany reagowania na incydenty, które obejmują szybkie odcięcie zagrożonych systemów, przełączenie krytycznych funkcji sterowania ruchem na tryby manualne oraz powiadomienie odpowiednich służb. Obowiązek posiadania takich procedur wynika m.in. z dyrektywy unijnej NIS-2 oraz krajowych regulacji dotyczących infrastruktury krytycznej - podsumowuje dr inż. Wojciech Gamon.

Wybrane dla Ciebie
Zderzenie trzech pojazdów, podczas zmiany pasa ruchu na autostradzie A2. Kierująca ukarana mandatem
Zderzenie trzech pojazdów, podczas zmiany pasa ruchu na autostradzie A2. Kierująca ukarana mandatem
Sensacja w Tychach. Comarch Cracovia pokonała mistrza Polski
Sensacja w Tychach. Comarch Cracovia pokonała mistrza Polski
Słupsk: 70-latek dostał mandat za prędkość, ale niczego go to nie nauczyło. Chwilę później znów został złapany
Słupsk: 70-latek dostał mandat za prędkość, ale niczego go to nie nauczyło. Chwilę później znów został złapany
Prochowice: Szkoła Podstawowa nr 2 obchodziła 60-lecie
Prochowice: Szkoła Podstawowa nr 2 obchodziła 60-lecie
Pow. inowrocławski: Szlachetna Paczka. Te rodziny potrzebują pomocy
Pow. inowrocławski: Szlachetna Paczka. Te rodziny potrzebują pomocy
Wola Łużańska: Wiemy, gdzie mieszkają renifery. Hoduje je Jerzy Ptaszek
Wola Łużańska: Wiemy, gdzie mieszkają renifery. Hoduje je Jerzy Ptaszek
Szczecin: Zakończyły się mistrzostwa Polski w pływaniu osób niepełnosprawnych
Szczecin: Zakończyły się mistrzostwa Polski w pływaniu osób niepełnosprawnych
Unia Oświęcim wraca na zwycięską ścieżkę. Odniosła spektakularne, wyjazdowe zwycięstwo nad JKH GKS Jastrzębie
Unia Oświęcim wraca na zwycięską ścieżkę. Odniosła spektakularne, wyjazdowe zwycięstwo nad JKH GKS Jastrzębie
Sopot jak kurort w Alpach? Historia zimowych sportów nad morzem
Sopot jak kurort w Alpach? Historia zimowych sportów nad morzem
Clair Obscur: Expedition 33 wyrównało rekord Baldur's Gate 3. Twórcy są w szoku: "To surrealistyczne"
Clair Obscur: Expedition 33 wyrównało rekord Baldur's Gate 3. Twórcy są w szoku: "To surrealistyczne"
Seria przełamana. Efektowny triumf Unii i popis fińskiego napastnika
Seria przełamana. Efektowny triumf Unii i popis fińskiego napastnika
Wielka niespodzianka Energi Toruń, niespodziewane emocje Artego Bydgoszcz
Wielka niespodzianka Energi Toruń, niespodziewane emocje Artego Bydgoszcz
ZACZEKAJ! ZOBACZ, CO TERAZ JEST NA TOPIE 🔥