Analizy

Cyberbezpieczeństwo w transporcie kolejowym

Transport kolejowy jest branżą relatywnie silniej zinformatyzowaną. Informatyzacja zapewnia możliwość optymalizacji szeregu procesów oraz rozwój nowych aktywności.

Prócz tych niewątpliwych pozytywów, rozwój technologii IT nieuchronnie skutkuje koniecznością coraz bardziej skutecznej ochrony zarówno samych danych, umożliwiających realizację określonych procesów, jak i infrastruktury IT. Zarówno bowiem przetwarzane dane, jak i strukturalne elementy systemów, są potencjalnym celem ataków, a każdy taki skuteczny atak wywołać może konkretne dysfunkcje w pracy zaatakowanego podmiotu. Co więcej, w przypadku przewoźników oraz zarządców infrastruktury, dysfunkcje te z bardzo dużym prawdopodobieństwem przełożą się na bezpieczeństwo ruchu kolejowego, bezpieczeństwo osób, przewożonych przesyłek oraz majątku przedsiębiorstwa. Artykuł niniejszy jest próbą spojrzenia na kwestię cyberbezpieczeństwa w transporcie kolejowym z punktu widzenia użytkownika systemów informatycznych.

Cyberbezpieczeństwo to zespół zagadnień związanych z zapewnianiem ochrony w sferze cyberprzestrzeni. Cyberprzestrzeń z kolei najlepiej definiuje się jako wirtualną przestrzeń przetwarzania informacji wraz z interakcjami zachodzącymi w sieciach teleinformatycznych. W rozumieniu przepisów prawa to przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne, określone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.) wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami. Należy tu zwrócić uwagę na fakt, iż w dzisiejszy świat technologii IT to przede wszystkim świat technologii sieciowych, opartych na przepływie i przesyle danych. Rozwiązania off-linowe, a więc najbardziej bezpieczne, w zasadzie pozostają w postępującej defensywie. Rośnie natomiast liczba zagrożeń związanych z coraz bardziej wyrafinowanymi środkami pozwalającymi na przeprowadzenie ataków na sieci informatyczne. Odnosząc to do sfery podmiotów rynku kolejowego, sfera IT, prócz typowych dla każdego podmiotu sfer: logistyki, zarządzania personelem, controllingu oraz rachunkowości, obejmuje między innymi tak kluczowe obszary działalności jak sterowanie ruchem kolejowym, łączność, zarządzanie utrzymaniem infrastrukturą oraz zarządzaniem utrzymania pojazdami kolejowymi. Podmioty takie, jak przewoźnicy kolejowi, zarządcy infrastruktury, czy w końcu jednostki odpowiedzialne za utrzymanie taboru (ECM), planując wdrożenie czy rozwój systemu IT od razu muszą przewidzieć możliwe do przeprowadzenie ingerencje w te systemy osób nieuprawnionych, słabe punkty swojej infrastruktury oraz niezbędne środki ochrony. Inaczej mówiąc, planując nowy składnik cyberprzstrzeni, należy zaprojektować zestaw narzędzi cyberbezpieczeństwa. Cyberbiezpieczeństwo w obszarze cybreprzestrzeni jest bowiem procesem polegającym na korzystaniu przez pracowników z zarówno narzędzi o charakterze organizacyjnym, jak i z narzędzi informatycznych. Te drugie to z jednej strony odpowiednie zabezpieczenia sprzętowe, z drugiej, narzędzia w sferze softwear’u – programy zabezpieczające dane przed zagrożeniami internetowymi. Oczywiście projektując i wybierając najbardziej właściwy zestaw wspomnianych narzędzi należy kierować się zestawem cech użytkowych danego systemu (rozumianego jako składnik zarówno infrastruktury krytycznej organizacji, jak i cyberprzestrzeni. Trzeba wziąć pod uwagę, czy projektowana sieć jest siecią dedykowaną o charakterze zamkniętym (np. intranet), czy siecią, do której dostęp możliwy jest z otoczenia firmy. Należy zwrócić uwagę na interfejsy, jako elementy systemu umożliwiające komunikację z nim. Trzeba przewidzieć możliwość wtargnięcia do systemu poprzez sieć teleinformatyczną, rodzaj ataku a także przewidzieć skutki ataku, ocenić ryzyko wystąpienia określonych niekorzystnych zdarzeń i zaprojektować zestaw narzędzi stosowanych zarówno w przypadku alarmu, jak i o charakterze profilaktycznym. Na koniec trzeba zaś pamiętać starą zasadę, iż łańcuch jest tak mocny, jak mocne jest jego najsłabsze ogniwo. To właśnie najsłabsze elementy w sieciach i systemach IT najczęściej stają się celami ataków hackerskich.

Współczesna wiedza IT a także z zakresu bezpieczeństwa pracy systemów i sieci rozróżnia następujące rodzaje ataków płynących z cyberprzestrzeni:

Malware
Jest to złośliwe oprogramowanie. W przypadku takiego ataku, złośliwe oprogramowanie bez zgody i wiedzy użytkownika wykonuje na komputerze określone działania.

Cross site scripting
Istotą takiego ataku jest umieszczenie na stronie internetowej specjalnego kodu, którego kliknięcie przez użytkownika powoduje przekierowanie na inną stronę internetową (np. na witrynę konkurencji).

Phishing
Celem takiego ataku jest pozyskanie danych użytkownika służących do logowania się na stronach internetowych, w szczególności bankowych oraz na portalach społecznościowych. Próba przejęcia haseł służących użytkownikowi do logowania umożliwia atakującym uzyskanie danych osobowych użytkownika.

Man in the Middle
Atak ten polega na uczestniczeniu osoby trzeciej na określonym działaniu, oczywiście w sposób nieuprawniony i niepożądany. W wyniku takiego ataku, atakujący przechwytuje niejawne co do zasady informacje. Najczęściej ataki tego typu są realizowane w celu przechwycenia danych identyfikacyjnych umożliwiających dostęp do bankowości elektronicznej i wykonywanie tam określonych operacji. Przykładem jest nieuprawnione przechwycenie takich danych np. w sklepie internetowym, podczas transakcji. Przejęte dane – login i hasło – pozwalają następnie wejść na konto bankowości elektronicznej zaatakowanego użytkownika i wyprowadzenie zeń środków.

DDoS
Jest to atak, którego celem jest zablokowanie możliwości logowania użytkownika na stronę internetową poprzez jednoczesne logowanie na tę samą stronę się wielu użytkowników. Wywoływany w ten sposób sztuczny ruch wzmacnia zainteresowanie użytkowników np. produktem dostępnym w sklepie internetowym.

Malvertising
Atak ten pozwala na dotarcie do użytkowników przeglądających zaufane strony internetowe a następnie na instalowanie bez wiedzy i zgody użytkownika złośliwego oprogramowania na urządzeniach użytkownika. Działanie takie dokonuje się poprzez nośniki jakimi są udostępniane na stronach internetowych reklamy, czy linki.

SQL Injection
Istotą tego ataku jest wykorzystywanie luk występujących w zabezpieczeniach portali, dedykowanych stron www, aplikacji, a dzięki temu pozwalającym na uzyskanie przez osoby nieuprawione danych osobowych.

Ransomware
Jest to ataku zmierzający do przejęcia i zaszyfrowania danych użytkownika w pierwszym kroku. W drugim kroku dane zostają zaatakowanemu użytkownikowi zwrócone pod warunkiem spełnienia przez niego żądania atakujących. Żądanie to może dotyczyć np. wniesienia okupu, czy wykonania innej niekorzystnej z punktu widzenia zaatakowanego użytkownika czynności.

Trudno zatem nie uświadomić sobie, jakie może dla przedsiębiorstwa kolejowego wywołać skutki skuteczne przepuszczenie jednego z ww. ataków. Atak DDoS na sieć sprzedaży internetowej może skutecznie zablokować portal sprzedażowy na wiele godzin, wtargnięcie do systemu odpowiadającego za prowadzenie ruchu pociągów w krytyczny sposób zagraża bezpieczeństwu ruchu kolejowego, a zatem bezpieczeństwu ludzi, mienia i przesyłek, a nieuprawnione przejęcie kontroli nad systemami odpowiadającymi m.in. za informację pasażerską może wywołać – poprzez wprowadzenie i emisję błędnych i fałszywych treści – reakcje dezorientacji, gniewu, czy paniki. Inne skutki nieuprawnionego dostępu do systemów IT podmiotów rynku kolejowego nie wymagają zapewne szczegółowego omawiania, bo ich ogromną szkodliwość nie trudno sobie wyobrazić.
Jak już wspomniałem na wstępie, artykuł ten nie jest prezentacją możliwych konkretnych rozwiązań technicznych i informatycznych, a próbą usystematyzowania podstawowych zestawów narzędzi z punktu widzenia przedsiębiorstwa kolejowego będącego użytkownikiem systemów IT. Stąd też skupię się na wskazaniu zagregowanych zestawów narzędzi IT zapewniających bezpieczeństwo w cybreprzestrzeni, zlokalizowanych, jak zaznaczono na wstępie, w dwóch obszarach: rozwiązań organizacyjnych oraz technicznych.
Rozwiązania organizacyjne skupiają się wokół wdrażanych przez coraz więcej firm politykach bezpieczeństwa. To właśnie polityka bezpieczeństwa stanowi swoisty kodeks przyjętych w organizacji reguł postępowania w zakresie zachowania należytego poziomu bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego i bezpieczeństwa fizycznego. Dokument ten jest bardzo często elementem systemu zarządzania bezpieczeństwem informacji. W szczególności dokument ten zawiera obowiązki wszystkich użytkowników sieci IT, a także osób w organizacji związanych z nadzorem nad sieciami, nad ich utrzymaniem (serwisem). W szczególności polityka bezpieczeństwa powinna uwzględniać zarządzanie zachodzącymi w organizacji i jej otoczeniu zmianami, jeśli wywierają one najmniejszy choćby wpływ na cyberbezpieczeństwo.
Zasady bezpieczeństwa zawarte w polityce bezpieczeństwa winny być skorelowane z zasadami bezpieczeństwa odnoszącymi się do innych sfer funkcjonowania organizacji. W transporcie kolejowym dotyczy to w szczególności systemu zarządzania bezpieczeństwem (SMS) oraz systemu zarządzania utrzymaniem taboru (MMS), jeśli oczywiście organizacja takie utrzymanie świadczy i jest zobowiązana do opracowania MMS. Oczywiście, jeśli organizacja wdrożyła system zarządzania jakością, polityka bezpieczeństwa musi stanowić jeden z istotnych elementów tego systemu.

W szczególności bezwzględnie wymaganymi działaniami w organizacji w zakresie cyberbezpieczeństwa winno być:

• Wprowadzenie zasady minimalnych uprawnień, polegającą na przyznawaniu dla danego użytkownika systemu wyłącznie minimalnych, bezwzględnie niezbędnych uprawnień wymaganych do pracy na danym stanowisku. O ile dla danego niestandardowego działania wymagane są wyższe uprawnienia, mogą być one przyznane jednorazowo lub wykonane przez personel bezpośredniego nadzoru lub wyższego nadzoru. W pasażerskich przewozach kolejowych tego typu zasada od lat stosowana jest w systemach kasowych, gdzie najczęściej występuje podział uprawnień na minimum trzy kategorie: kasjera, prowadzącego bezpośrednią sprzedaż, kasjera – rachunkozdawcę, prowadzącego sprawozdawczość finansową dla nadzorowanej kasy oraz administratora (ADMINA), zarządzającego uprawnieniami użytkowników.
• Wprowadzenie zasady wielowarstwowości zabezpieczeń, polegającej na ochronie systemu (systemów) IT równolegle, na wielu poziomach. Przykładowo: w celu ochrony przed wirusami stosuje się równolegle wiele technik: oprogramowanie antywirusowe, systemy typu firewall, odpowiednią konfigurację systemu aktualizacji Windows. Taka redundancja środków ochrony powoduje znaczące utrudnienia dla hackerów.
Wprowadzenie zasady ograniczania dostępu do poszczególnych warstw funkcjonalnych systemu. Domyślną, niejako zasadniczą zasadą dostępu do systemu IT, powinno być ograniczenie dostępu. Dopiero na wyraźne żądanie uprawnionego przełożonego ADMIN może przyznać stosowne uprawnienia. Oczywiście przy ich przyznawaniu stosuje się odpowiednio dwie powyższe zasady.
• Wprowadzenia kontroli (reglamentacji) dostępu do danych na poszczególnych stanowiskach komputerowych. Zasada ta polega na dostępie do danych poufnych w LAN wyłącznie na przeznaczonych do tego serwerach. Ponadto każdy dostęp do danych poufnych (udany lub nieudany) na serwerach jest odnotowywany. Polityka bezpieczeństwa powinna przewidywać odrębną listę systemów objętych zarówno reglamentowaniem dostępu, jak i autozapisem dostępu do danych. Jeśli stacja PC jest komputerem przenośnym (laptopem) to musi ona być dodatkowo zabezpieczona (np. z wykorzystaniem szyfrowania dysku twardego – FDE). W przypadku uprawnienia użytkownika lub użytkowników systemu do dostępu do serwerów z danymi poufnymi z zewnątrz firmy, to taki dostęp powinien odbywać się z wykorzystaniem kanału szyfrowanego (np. VPN, dostęp do e-mail poprzez protokół szyfrowany). Takie same zasady powinny dotyczyć dostępu do serwerów z danymi poufnymi z wykorzystaniem sieci WiFi.
• Zabezpieczenie stacji roboczych. Stacje to powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich. W zależności od oszacowanego ryzyka a także od wagi dokumentów (danych) oraz ekspozycji tych danych na ewentualne próby dostępu do nich osób nieuprawnionych, można wykorzystywać różne środki ochrony. Jako minimalne należy uważać zainstalowanie na stanowiskach systemów antywirusowaych oraz zabezpieczeń typu firewall. Należy wdrożyć bieżącą aktualizację systemu operacyjnego a także składników tego systemu. Stacja robocza winna być chroniona hasłem, a hasło winno posiadać odpowiedni stopień złożoności. Należy bezwzględnie unikać prostych ciągów liczb, imion, nazw własnych czy innych prostych zabezpieczeń (tzw. słabych haseł), które mogą być w relatywnie prosty sposób złamane. Hasło winno być okresowo zmieniane, a okresy zmiany hasła relatywnie krótkie (np. miesięczne). Kolejną zasadą winno być nie pozostawianie nie zablokowanych stanowisk bez nadzoru. Stąd też pożądane jest stosowanie rozwiązań wymuszanych, np. włączanie wygaszacza ekranu przy braku aktywności na stanowisku. W zależności od specyfiki danej organizacji i jakości danych, bieżąca praca powinna odbywać się z wykorzystaniem konta nieposiadającego uprawnień administracyjnych.
• Monitorowanie bezpieczeństwa. Powinien on obejmować analizę oprogramowania wykorzystywanego na stacjach roboczych, w tym w szczególności pod kątem stosowania wyłącznie oprogramowania legalnego oraz zapewniającego właściwy poziom bezpieczeństwa. Kolejnymi obiektami monitorowania winna być analiza odwiedzanych przez pracowników stron internetowych, godzin pracy na stanowiskach a także wszelkich dostępów do systemu. Analizie należy poddawać ruch sieciowy pod względem komunikacji mającej wpływ na bezpieczeństwo organizacji. Monitorowanie winno być skorelowane z audytami w organizacji, a z każdego takiego audytu monitorującego powinien być sporządzony raport wraz z oceną stanu faktycznego. W raporcie należy wskazać zalecane przez audytorów rekomendacje oraz okresy zalecane dla wdrożenia rekomendacji. Oczywiście z uwagi na rangę i materię problemu, audyty oraz analiza sporządzanych z tych audytów raportów powinny stanowić przedmiot zainteresowania najwyższego kierownictwa organizacji.
• Edukacja pracowników w zakresie bezpieczeństwa, w tym w zakresie roli cyberbezpieczeństwa dla organizacji, występujących zagrożeń, środków profilaktycznych oraz postępowania w przypadku ujawnienia lub zaistnienia incydentu. Proces ten należy uznawać jako ciągły, szkolenia prowadzić okresowo, dodatkowo stosując zasady samokształcenia i samodoskonalenia.
• Kształtowanie odpowiedzialności za dane dostępowe do systemów. Każdy z pracowników powinien zostać w sposób formalny (na piśmie) zobowiązany do zachowania poufności posiadanych przez niego środków dostępowych do systemów IT. Chodzi tu o wykształcenie nawyku ochrony loginów, haseł, kart dostępowych (np. RFID). Należy w tym przypadku kierować się zasadą, że zdecydowanie groźniejsze od zagrożeń płynących z zewnątrz organizacji są zagrożenia pochodzące z jej wnętrza.
• Ograniczenia transportowe danych. Dotyczy to używania pamięci USB, dysków wymiennych, wnoszenia i uruchamiania na stacjach PC płyt CD (CDRV), jak również kopiowania danych bez stosownych zabezpieczeń na ww. nośnikach i wynoszeniu ich poza organizację. Z uwagi na doskonalące się niestety coraz bardziej techniki niepowołanego dostępu do systemów z wykorzystaniem tego typu nośników, pożądane jest ograniczenie do minimum liczby stanowisk umożliwiających stosowanie tego typu nośników.
• Zakaz korzystania z firmowej infrastruktury IT w celach prywatnych.
Szczególną ochronę danych osobowych oraz danych finansowych i innych danych wrażliwych organizacji. Jakkolwiek wszelkie dane winny być chronione, o tyle w sposób szczególny należy chronić dane, które podlegają obowiązkowi takiej ochrony z punktu widzenia przepisów prawa a także te, które winny stanowić przedmiot szczególnej ochrony z uwagi na interes przedsiębiorstwa.
• Szczególną ochronę systemów IT kluczowych z punktu widzenia bezpieczeństwa ruchu kolejowego. Chodzi tu o zapewnienie szczególnej ochrony zarówno dostępu jak i działań w systemach sterowania ruchem kolejowym, systemach zarządzania utrzymaniem taboru, systemach zarządzania utrzymaniem obiektów infrastruktury kolejowej itp. Ta zasada szczególnej ochrony podyktowana jest wagą zagrożeń, do których może dojść w przypadku dostępu do ww. systemów osób do tego nieuprawnionych.
• Ochronę sieci lokalnych (LAN). Sieci te należy chronić między innymi poprzez odseparowanie serwerów istotnych od sieci klienckich. Gniazda sieciowe dostępne publicznie powinny być nieaktywne, a goście organizacji nie powinni uzyskiwać dostępu do sieci lokalnej.
• Wdrożenie i ciągłą aktualizację dokumentacji bezpieczeństwa. Organizacja powinna prowadzić dokumentację w zakresie wykorzystywanych metod zabezpieczeń systemów IT, konfiguracji (budowy) sieci IT, dostępów do zbiorów danych / systemów udzielonych pracownikom itp. Wszelkie zmiany w obszarach objętych dokumentacją, uwzględniane są w tejże dokumentacji.
• Określenie zasad publicznego udostępniania infrastruktury IT. Mowa tu m.in. o wspomnianej już wyżej separacji sieci LAN, wewnętrznej lub zewnętrznej weryfikacji bezpieczeństwa oferowanego przez system, np. poprzez testy penetracyjne.
• Wdrożenie zasady wykonywania kopii zapasowych dla zasobów istotnych i krytycznych w organizacji. Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w firmowej infrastrukturze IT. Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym. Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości odtworzenia danych.
• Wdrożenie innych zasad bezpieczeństwa. Między innymi mowa tu o dezaktywowaniu dostępu do zasobów IT organizacji dla pracowników, którzy z organizacji odeszli lub zostali wydaleni, a także o wdrożeniu bezwzględnego obowiązku zgłaszania incydentów IT w formie raportowania. Każdy taki incydent należy odnotować w stosownej bazie danych, zapisy tej bazy (rejestru) należy na bieżąco aktualizować, weryfikować i analizować, a dane z tej analizy winny stanowić bazę dla wdrażanych rozwiązań zaradczo-profilaktycznych. Kolejną zasadą jest zasada weryfikacji przestrzegania polityki bezpieczeństwa. Należy wdrożyć system okresowych wewnętrznych lub zewnętrznych audytów bezpieczeństwa, mających na celu wykrycie ewentualnych uchybień w realizacji założeń polityki bezpieczeństwa.

Drugą grupą działań na rzecz cyberbezpieczeństwa są środki ochrony o charakterze technicznym. Mowa tu o odpowiednim stosowaniu opisanych wyżej zabezpieczeniach sprzętowych czy programistycznych, ale też o innych środkach technicznych. Należy tu zaliczyć między innymi:

• fizyczną ochronę serwerów krytycznych. Należy przez to rozumieć nie tylko ich zabezpieczenie przed dostępem osób niepowołanych (prócz dostępu do danych serwera z wykorzystaniem narzędzi IT, serwer może być również celem ataków realizowanych w celu fizycznego zniszczenia go), ale także przed działaniem czynników niekoniecznie uzależnionych od zamierzonych działań ludzkich o charakterze negatywnym. Należy tu rozumieć ochronę serwerów przed przegrzaniem, czy pożarem. Serwerownie winny być klimatyzowane, a dodatkowo powinny być w nich zainstalowane dedykowane systemy gaszące. Proces gaszenia nie powinien powodować zniszczenia serwerów, co może nastąpić np. w wyniku gaszenia z wykorzystaniem powszechnie dostępnych metod gaśniczych. Obecnie rynek zabezpieczeń przeciwpożarowych oferuje środki gaszące eliminujące ogień, jednocześnie nie dopuszczające do zniszczenia urządzeń komputerowych. I tak dla przykładu, w serwerowniach PKP SKM w Trójmieście stosowane są systemy gaszące poprzez redukcję tlenu. Brak tego pierwiastka uniemożliwia proces palenia. Serwery i inne urządzenia IT oraz sieci IT należy chronić przed pyłem, wodą, ekspozycją na promienie słoneczne, przegrzanie, zewnętrzne pole magnetyczne (elektromagnetyczne) oraz wibrację. Środki są różne, dla przykładu sieci (np. CAN) zainstalowane w pojazdach, pracujące w polu trakcji elektrycznej, ekranuje się.
• Wydzielanie stref dostępu. To rozwiązanie oparte na podzieleniu obszaru np. strefy administracyjnej organizacji na sektory, do których dostęp możliwy jest wyłącznie dla niektórych pracowników posiadających szczególne uprawnienia. Zabezpieczenia w dostępie do stref powinny być unikalne, a ich hierarchia i rodzaj uzależnione od tego, czy jest to strefa podlegająca szczególnej ochronie, czy też nie. Podobnie, jak w przypadku zabezpieczeń informatycznych, należy tu przewidzieć szczególne zasady postępowania zarówno przy nadawaniu uprawnień, jak przy ich cofaniu, a przede wszystkim prowadzić ścisły monitoring i kontrolę korzystania zeń.
• Kontrolę dostępu. To zapewne najstarszy i najmniej skomplikowany środek zabezpieczający. Kontrola dostępu polega na określeniu kategorii (grup) pracowników oraz przypisaniu im uprawnień w zakresie dostępu do określonych rejonów budynku (obszaru) oraz wizualizacji tych pracowników. Fizyczna ochrona dostępu i kontrola dostępu może być realizowana automatycznie lub poprzez fizyczną kontrolę realizowaną przez wyspecjalizowanych pracowników ochrony. Pracownicy winni w obu przypadkach posługiwać się identyfikatorami, w których opisane będą ich zakresy uprawnień. Jakość tych identyfikatorów nie powinna wzbudzać jakichkolwiek wątpliwości czy podejrzeń co do uprawnień okaziciela identyfikatora w zakresie dostępu. Należy wprowadzić i stosować zasadę ograniczenia swobody dostępu oraz poruszania się po obszarze organizacji przybywających tam gości (interesantów). Każdy z nich powinien być wyposażony w identyfikator dedykowany dla osób spoza organizacji. Należy wprowadzić zasadę ewidencji tych identyfikatorów, z odnotowaniem daty wydania, daty zwrotu, osoby dla którego dany identyfikator wydano. Należy ewidencjonować cel przybycia oraz osobę lub osoby, do których dany gość udaje się. Co więcej, nie należy dopuszczać do swobodnego przemieszczania się interesantów po obszarze organizacji. Wejście gościa, jego przemieszczanie się po infrastrukturze organizacji oraz wyjście powinno zawsze odbywać się w asyście pracownika organizacji.
• Stosowanie zasady dwóch par oczu. Zasada ta polega na dostępie do najbardziej istotnych zasobów organizacji oraz dokonywaniu działań na tych zasobach przy udziale przynajmniej kilku użytkowników, najczęściej o różnych zakresach (poziomach) uprawnień. Czynność wykonana przez jednego użytkownika, po przejściu na wyższy poziom, wymaga akceptacji przez innego użytkownika, walidującego czynność uprzednio dokonaną. Zarówno dokonane czynności, jak i wykonujący je użytkownicy, podlegają rejestracji w elektronicznych dziennikach czynności lub w inny, przyjęty przez dany system sposób.
• Stosowanie zasady stosowania zabezpieczeń fizycznych o dużej komplikacji. Dotyczy to w szczególności zabezpieczeń fizycznych na drogach dostępu do zasobów zarówno do obiektów infrastruktury IT (serwerownie, stanowiska bezpieczne itp.), jak i samych zasobów IT. Duża komplikacja dotyczy zarówno stosowania odpowiednich zamków (tradycyjnych mechanicznych lub elektronicznych) do drzwi ww. pomieszczeń, jak i stosowania ekranowania ścian ww. pomieszczeń. Oczywiście, tak jak przy poprzednio wymienionych zabezpieczeniach, ich rodzaj oraz jakość (odporność na ataki) zależy wprost proporcjonalnie od oszacowanego ryzyka ewentualnych szkód na skutek niekontrolowanego dostępu do danych oraz nieuprawnionej ingerencji w systemie (systemach) IT.

Cyberbezpieczeństwo w transporcie kolejowym nabiera coraz większego znaczenia. Rozwój technologii cyfrowych w zakresie sterowania ruchem kolejowym oraz kontroli biegu pociągów, systematyczne zastępowanie rejestrów papierowych dokumentacją elektroniczną rodzą bowiem poważne ryzyka uszkodzenia, zniekształcenia lub utraty kluczowych danych z punktu widzenia organizacji. Coraz większa autonomizacja i automatyzacja procesów wymaga wzrostu działań w zakresie cyberbezpieczeństwa, rozwoju technik i narzędzi poprawy bezpieczeństwa sieci IT a w dalszej kolejności – niestety też i kosztów tych działań.

Bartłomiej Buczek

Avatar
MD