Kurs'90 - stary, ale niewrażliwy na ataki? "Zróżnicowane zabezpieczenia"

Od globalnej awarii spowodowanej przez aktualizację oprogramowania CrowdStrike Falcon minął już miesiąc. Ówczesny paraliż, jak opisywaliśmy na naszych łamach, bardzo boleśnie odczuła branża transportowa, chociaż nie wszystkie podmioty dotknęły problemy z tego tytułu. 

W Stanach Zjednoczonych jednym z nich były linie lotnicze Southwest, które korzystają z systemu operacyjnego Windows 3.11, wydanego w 1992 roku. Według informacji portalu SFGate, to właśnie przestarzała wersja sztandarowego produktu Microsoft uratowała linię przed kłopotami z tytułu błędu podmiotu trzeciego.

Archaiczność metodą na problemy?

W niemal analogicznej sytuacji znajduje się część polskich przewoźników kolejowych, które w spadku po „jednym PKP” odziedziczyły system sprzedaży biletów. Chodzi naturalnie o Kurs’90, z którego obecnie korzysta m.in. PKP Intercity.

Jak zauważa biuro prasowe przewoźnika w odpowiedzi dla redakcji CyberDefence24, Kurs jest systemem backendowym – odpowiada za przydzielanie rezerwacji oraz naliczanie cen biletów. Pasażerowie podczas zakupu biletu korzystają z kolei z eIC 1.0 oraz eIC 2.0, czyli kanałów sprzedaży opierających się o niemiecki system.

Wszystkie nasze kanały sprzedaży (tj. system e-IC, kasy biletowe, aplikacja mobilna itd.) działają w oparciu o Kurs'90, którego następcą jest realizowany przez PKP Informatyka nowy Centralny System Sprzedaży (CSS)"
Biuro prasowe PKP Intercity

System biletowy z lat 80. Działa do dziś

Nie pojawiły się informacje, jakoby PKP Intercity odnotowało jakiekolwiek utrudnienia związane z błędem CrowdStrike. Wszystko przez to, że Kurs’90 pochodzi z 1987 roku, gdy został wdrożony przez Deutsche Bundesbahn. W Polsce pojawił się w 1992 roku, jednak jak przypominał portal zbiorowy.info w 2019 roku, bilety krajowe można było kupić za jego pośrednictwem dopiero dwa lata później.

Niemcy zaczęli się zastanawiać nad zastąpieniem Kurs’90 już dwie dekady temu – napisany w języku Cobol system opierający się na protokole X.25 został wówczas uznany za stary. PKP Intercity rozszerzało jednak jego funkcjonalność za pomocą rozwiązań potocznie nazywanych „nakładkami” - umożliwiły one m.in. wprowadzenie graficznego wyboru rezerwacji miejsc.

Kiedy zastąpienie nowym systemem? „Funkcjonalności włączane sukcesywnie"

Archaiczność rozwiązania nie jest jedyną „metodą” obrony przed cyberatakami – chociaż spółka nie podaje na ten temat konkretów. „PKP Intercity posiada zróżnicowane zabezpieczenia, które pozwalają maksymalnie niwelować skutki ataków cybernetycznych na systemy i aplikacje sprzedażowe” – przekazało naszej redakcji biuro prasowe przewoźnika. 

Docelowo Kurs’90 ma zostać zastąpiony przez Centralny System Sprzedaży, który opracowuje PKP Informatyka. Jak informował Rynek Kolejowy blisko dwa lata temu, CSS miał zacząć działać na jesieni 2023 roku. 

Informacje otrzymane przez CyberDefence24 wskazują, że obecnie eIC 2.0 nie posiada jeszcze wszystkich funkcjonalności. Przewoźnik zapewnia jednak, że plany nie uległy zmianie. „System ten będzie podstawowym serwisem sprzedaży internetowej” – czytamy w informacji biura prasowego PKP Intercity.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].