Polityka i prawo
Rząd: Polska kolej chroniona przed cyberatakiem
Minister Cyfryzacji Anna Streżyńska oraz sekretarz stanu w Ministerstwie Infrastruktury i Budownictwa Kazimierz Smoliński w odpowiedzi na poselską interpelację przedstawili informację o zabezpieczeniach systemów informatycznych infrastruktury kolejowej.
Poseł Bartłomiej Stawiarski (PiS) złożył interpelację, w której prosił o obszerne wyjaśnienie działań podjętych przez administracją krajową ukierunkowanych na zapewnienie odpowiedniego poziomu cyberbezpieczeństwa infrastruktury krytycznej. Wskazał on na zagrożenie związane z modernizacją systemów teleinformatycznych. Parlamentarzysta poruszył w interpelacji również problem cyberataków na koleje świecie, wymieniając już m.in. Deutsche Bahn czy metro w Korei Południowej. Dodał, że nie ma informacji o takich incydentach w Polsce.
Większość systemów pracujących na potrzeby sterowania ruchem kolejowym ma strukturę rozsianą. Wykorzystywane są wyizolowane fizycznie własne kable miedziane i światłowodowe, co separuje ww. systemy od otoczenia zewnętrznego (tzw. chmury). Dodatkowo sterowanie wyświetlaniem sygnałów na semaforach jest kontrolowane na kilku poziomach, a systemy instalowane przez Spółkę zostały przyjęte do wykorzystania jako bezpieczne w całej Europie.
Sekretarz stanu w ministerstwie Infrastruktury i Budownictwa Kazimierz Smoliński podkreślił w odpowiedzi, że cyberbezpieczeństwo na kolei traktowane jest priorytetowo. Spółka PKP Polskie Linie Kolejowe posiada między innymi wdrożony System Zarządzania Bezpieczeństwem SMS, który obejmuje zidentyfikowaną grupę zagrożeń związanych z cyberatakami. W ramach procedur zarządzania kryzysowego zostały opracowane wytyczne dotyczące identyfikacji i zgłaszania incydentów związanych z awariami kolejowych systemów teleinformatycznych do Rządowego Centrum Bezpieczeństwa oraz CERT ABW (tj. Rządowego Centrum Reagowania na Incydenty Komputerowe).
Czytaj także: Ekspert: Atak na KNF skoordynowany i bardzo dobrze zaplanowany
Troska o cyberbezpieczeństwo infrastruktury kolejowej zarządzanej przez PKP Polskie Linie Kolejowe S.A. jest jednym z priorytetów Spółki. W związku z tym od kilkunastu lat rozwiązania projektowane w zakresie automatyki i telekomunikacji przewidują możliwości zestawiania (najczęściej automatycznie bez straty informacji) alternatywnej drogi transmisyjnej. Tego typu rozwiązania implementowane są praktycznie na wszystkich modernizowanych liniach kolejowych i we wszystkich uruchamianych systemach przekazywania informacji.
Jeśli chodzi o PKP Informatyka sp. z o.o., przedstawiciel resortu Infrastruktury i Budownictwa pisze, że spółka ta posiada dedykowaną komórkę bezpieczeństwa IT, która ma kompetencje oraz zasoby ludzkie i techniczne, pozwalające na aktywną ochronę systemów. Jednym z elementów bezpieczeństwa IT na poziomie działania operacyjnego jest Security Operations Center (SOC) - zespół odpowiadający za monitorowanie i reagowanie w przypadku wystąpienia zdarzeń związanych z bezpieczeństwem IT, działający w trybie 24/7/365.
W chwili obecnej trwają prace koncepcyjne nad utworzeniem zespołu CSIRT (Computer Security Incident Response Team), który byłby następnym etapem realizacji strategii PKP Informatyka w zakresie bezpieczeństwa IT. Ponadto, jak pisze Kazimierz Smoliński, PKP Informatyka w 2007 roku, jako pierwsza spółka na rynku kolejowym uzyskała certyfikat na zgodność z podstawową normą bezpieczeństwa ISO 27001. Ponadto, w ubiegłym roku podpisała porozumienie o współpracy w zakresie cyberbezpieczeństwa z Narodowym Centrum Cyberbezpieczeństwa (NC Cyber).
Czytaj także: Aplikacja dla numeru 112. MSWiA rusza z konkursem
Minister Cyfryzacji Anna Streżyńska odpowiada, że ochrona cyberprzestrzeni to jeden z priorytetów MC. Jej zdaniem należy nie tyko stworzyć porządek prawny regulujący sektory prywatny i publiczny (a także działania obywateli) w obszarze cyberbezpieczeństwa. Istotna jest również przestrzeń do współpracy, umożliwiająca wymianę doświadczeń, wspieranie przeciwdziałania cyberprzestępczości oraz uspójnione działania w zakresie neutralizacji incydentów. Dlatego w tym celu na początku 2016 r. przekazano do uzgodnień międzyresortowych oraz publicznych konsultacji założenia do Strategii Cyberbezpieczeństwa RP. Obecnie trwają intensywne prace nad jej ostatecznym kształtem.
Ministerstwo Cyfryzacji przygotowuje również projekt ustawy o krajowym systemie cyberbezpieczeństwa. Projekt ten określi zasady tworzenia i funkcjonowania w Rzeczypospolitej Polskiej krajowego systemu cyberbezpieczeństwa, a w szczególności: współpracę krajową, współpracę międzynarodową, system reagowania na cyberincydenty, obowiązki dotyczące edukacji użytkownika końcowego, edukacji eksperckiej oraz informacyjne o cyberincydentach. Ustawa będzie również implementowała dyrektywę Parlamentu Europejskiego i Rady UE w sprawie środków mających na celu zapewnienie wspólnego wysokiego poziomu bezpieczeństwa sieci i systemów informatycznych w obrębie Unii (dyrektywa NIS).
Należy mieć na uwadze, że Grupa PKP jest grupą samodzielnych przedsiębiorców, którzy posiadają własne sieci i systemy informatyczne. Każdy przedsiębiorca, posiadający w/w zasoby musi zapewnić bezpieczeństwo usług wewnętrznych oraz zewnętrznych świadczonych z ich wykorzystaniem. Do chwili przyjęcia ustawy o krajowym systemie cyberbezpieczeństwa Ministerstwo Cyfryzacji nie posiada środków prawnych pozwalających wpłynąć na zapewnienie cyberbezpieczeństwa kolei – pisze w odpowiedzi minister Streżyńska.
Według niej rząd zdaje sobie sprawę z powagi sytuacji oraz z faktu, że kolej jest częścią infrastruktury krytycznej w Polsce, a usługi świadczone przez Grupę PKP są kluczowe dla poprawnego funkcjonowania państwa. Dlatego też jak odpowiada Sterżyńska, położono silny nacisk na zaangażowanie spółki PKP Informatyka w, otwarte 4 kwietnia 2016 r., Narodowe Centrum Cyberbezpieczeństwa. Porozumienie w tej sprawie zostało podpisane w dniu 20 lipca 2016 r. pomiędzy Ministrem Cyfryzacji, Prezesem Zarządu PKP Informatyka oraz Dyrektorem instytutu badawczego - Naukowa i Akademicka Sieć Komputerowa (NASK).
Czytaj także: Wiceprezes Związku Banków Polskich: Cyberbezpieczeństwo jest wbudowane w DNA biznesu bankowego
NC Cyber to centrum wczesnego ostrzegania i szybkiego reagowania, a w razie ewentualnych ataków – koordynowania działań i wymiany informacji. Funkcjonuje w trybie 24/7 przez 365 dni w roku i oparte jest na czterech filarach: badawczo-rozwojowym, operacyjnym, szkoleniowym i analitycznym. Działający w jego strukturach Zespół CERT Polska odpowiedzialny jest za reagowanie na cyberincydenty.
Zespół ten odpowiada również za rejestrowanie i obsługę zdarzeń naruszających bezpieczeństwo sieci, wykrywanie i analizę zagrożeń wymierzonych w szczególności w polskich internautów lub zagrażających domenie „.pl” oraz dynamiczne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla polskich internautów. CERT Polska aktywnie współpracuje z organami ścigania przy realizacji swoich zadań. Prowadzi także działania informacyjno-edukacyjne, zwiększające świadomość w zakresie bezpieczeństwa teleinformatycznego. CERT Polska publikuje także informacje o bezpieczeństwie na blogu cert.pl oraz w wybranych serwisach społecznościowych, organizuje konferencje i przeprowadza szkolenia specjalistyczne w zakresie cyberbezpieczeństwa.
Według minister Streżyńskiej, szybka wymiana informacji między kluczowymi podmiotami ma szansę zapewnić skuteczne reagowanie na pojawiające się zagrożenia. Narodowe Centrum Cyberbezpieczeństwa współpracuje na tym polu nie tylko ze wspomnianym wyżej PKP Informatyka, ale również z przedsiębiorstwami telekomunikacyjnymi (Orange, Polkomtel, T-Mobile), branżą energetyczną (Energa, PSE, Gaz System, PERN), Związkiem Banków Polskich oraz bankami (Bank Zachodni WBK S.A., Credit-Agricole Bank Polska S.A., Bank Handlowy w W-wie S.A., mBank S.A., Bank Millennium S.A., PKO BP S.A. oraz Raiffeisen Bank Polska S.A.). W treści interpelacji poseł zwrócił też uwagę na zagrożenia związane z systemami łączności radiowej.
Poseł Bartłomiej Stawiarski pytał też o możliwość zakłócenia sygnału radiowego.
Cyberbezpieczeństwo nie ogranicza się do Internetu (ok. 90% zagrożeń występuje poza Internetem), może obejmować sieci teletechniczne – takie jak połączenia radiowe. Wystarczy zbudować nadajniki systemu Radiostop – co jest dość łatwe i nie wymaga dużych nakładów finansowych – umieścić je w kilkudziesięciu newralgicznych punktach na sieci PLK, aby sparaliżować ruch w całym kraju, przed tym nie uchroni nas SOC (Operacyjne Centrum Bezpieczeństwa), ustawodawstwo w zakresie cyberbezpieczeństwa, ani zabezpieczenia sygnaturowe czy dowolne inne. Kolejarze nie zdają sobie sprawy z tych zagrożeń. Podział przedsiębiorstwa PKP na wiele podmiotów sprawił, że nie ma dobrego przepływu informacji pomiędzy nimi.
Sekretarz stanu w MIB Kazimierz Smoliński stwierdził jednak w odpowiedzi, że wdrażany jest system cyfrowy ERTMS/GSM-R, o zwiększonej odporności na ataki. Natomiast automatyczną identyfikację nadajnika wysyłającego sygnał Radio-Stop wprowadzono już dziesięć lat temu.
Odnosząc się do kwestii sygnału Radio-Stop należy podkreślić, że ponad dziesięć lat temu Spółka wprowadziła automatyczną identyfikację nadajnika wysyłającego taki sygnał. Ponadto Spółka wdraża obecnie system ERTMS/GSM-R, który jest w całości systemem cyfrowym, co znacznie utrudnia włamanie się do niego. W związku z tym nie zakłada się obecnie modernizacji systemu radiołączności analogowej, gdyż wymagałoby to wymiany kilkunastu tysięcy radiotelefonów i prawdopodobnie spotkałoby się z odmową przydzielenia pasma dla transmisji cyfrowej ze strony Urzędu Kontroli Elektronicznej.