Transport kolejowy jest branżą relatywnie silniej zinformatyzowaną. Informatyzacja zapewnia możliwość optymalizacji szeregu procesów oraz rozwój nowych aktywności.
Prócz tych niewątpliwych pozytywów, rozwój technologii IT nieuchronnie skutkuje koniecznością coraz bardziej skutecznej ochrony zarówno samych danych, umożliwiających realizację określonych procesów, jak i infrastruktury IT. Zarówno bowiem przetwarzane dane, jak i strukturalne elementy systemów, są potencjalnym celem ataków, a każdy taki skuteczny atak wywołać może konkretne dysfunkcje w pracy zaatakowanego podmiotu. Co więcej, w przypadku przewoźników oraz zarządców infrastruktury, dysfunkcje te z bardzo dużym prawdopodobieństwem przełożą się na bezpieczeństwo ruchu kolejowego, bezpieczeństwo osób, przewożonych przesyłek oraz majątku przedsiębiorstwa. Artykuł niniejszy jest próbą spojrzenia na kwestię cyberbezpieczeństwa w transporcie kolejowym z punktu widzenia użytkownika systemów informatycznych.
Cyberbezpieczeństwo to zespół zagadnień związanych z zapewnianiem ochrony w sferze cyberprzestrzeni. Cyberprzestrzeń z kolei najlepiej definiuje się jako wirtualną przestrzeń przetwarzania informacji wraz z interakcjami zachodzącymi w sieciach teleinformatycznych. W rozumieniu przepisów prawa to przestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne, określone w art. 3 pkt 3 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. Nr 64, poz. 565, z późn. zm.) wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami. Należy tu zwrócić uwagę na fakt, iż w dzisiejszy świat technologii IT to przede wszystkim świat technologii sieciowych, opartych na przepływie i przesyle danych. Rozwiązania off-linowe, a więc najbardziej bezpieczne, w zasadzie pozostają w postępującej defensywie. Rośnie natomiast liczba zagrożeń związanych z coraz bardziej wyrafinowanymi środkami pozwalającymi na przeprowadzenie ataków na sieci informatyczne. Odnosząc to do sfery podmiotów rynku kolejowego, sfera IT, prócz typowych dla każdego podmiotu sfer: logistyki, zarządzania personelem, controllingu oraz rachunkowości, obejmuje między innymi tak kluczowe obszary działalności jak sterowanie ruchem kolejowym, łączność, zarządzanie utrzymaniem infrastrukturą oraz zarządzaniem utrzymania pojazdami kolejowymi. Podmioty takie, jak przewoźnicy kolejowi, zarządcy infrastruktury, czy w końcu jednostki odpowiedzialne za utrzymanie taboru (ECM), planując wdrożenie czy rozwój systemu IT od razu muszą przewidzieć możliwe do przeprowadzenie ingerencje w te systemy osób nieuprawnionych, słabe punkty swojej infrastruktury oraz niezbędne środki ochrony. Inaczej mówiąc, planując nowy składnik cyberprzstrzeni, należy zaprojektować zestaw narzędzi cyberbezpieczeństwa. Cyberbiezpieczeństwo w obszarze cybreprzestrzeni jest bowiem procesem polegającym na korzystaniu przez pracowników z zarówno narzędzi o charakterze organizacyjnym, jak i z narzędzi informatycznych. Te drugie to z jednej strony odpowiednie zabezpieczenia sprzętowe, z drugiej, narzędzia w sferze softwear’u – programy zabezpieczające dane przed zagrożeniami internetowymi. Oczywiście projektując i wybierając najbardziej właściwy zestaw wspomnianych narzędzi należy kierować się zestawem cech użytkowych danego systemu (rozumianego jako składnik zarówno infrastruktury krytycznej organizacji, jak i cyberprzestrzeni. Trzeba wziąć pod uwagę, czy projektowana sieć jest siecią dedykowaną o charakterze zamkniętym (np. intranet), czy siecią, do której dostęp możliwy jest z otoczenia firmy. Należy zwrócić uwagę na interfejsy, jako elementy systemu umożliwiające komunikację z nim. Trzeba przewidzieć możliwość wtargnięcia do systemu poprzez sieć teleinformatyczną, rodzaj ataku a także przewidzieć skutki ataku, ocenić ryzyko wystąpienia określonych niekorzystnych zdarzeń i zaprojektować zestaw narzędzi stosowanych zarówno w przypadku alarmu, jak i o charakterze profilaktycznym. Na koniec trzeba zaś pamiętać starą zasadę, iż łańcuch jest tak mocny, jak mocne jest jego najsłabsze ogniwo. To właśnie najsłabsze elementy w sieciach i systemach IT najczęściej stają się celami ataków hackerskich.
Współczesna wiedza IT a także z zakresu bezpieczeństwa pracy systemów i sieci rozróżnia następujące rodzaje ataków płynących z cyberprzestrzeni:
Malware
Jest to złośliwe oprogramowanie. W przypadku takiego ataku, złośliwe oprogramowanie bez zgody i wiedzy użytkownika wykonuje na komputerze określone działania.
Cross site scripting
Istotą takiego ataku jest umieszczenie na stronie internetowej specjalnego kodu, którego kliknięcie przez użytkownika powoduje przekierowanie na inną stronę internetową (np. na witrynę konkurencji).
Phishing
Celem takiego ataku jest pozyskanie danych użytkownika służących do logowania się na stronach internetowych, w szczególności bankowych oraz na portalach społecznościowych. Próba przejęcia haseł służących użytkownikowi do logowania umożliwia atakującym uzyskanie danych osobowych użytkownika.
Man in the Middle
Atak ten polega na uczestniczeniu osoby trzeciej na określonym działaniu, oczywiście w sposób nieuprawniony i niepożądany. W wyniku takiego ataku, atakujący przechwytuje niejawne co do zasady informacje. Najczęściej ataki tego typu są realizowane w celu przechwycenia danych identyfikacyjnych umożliwiających dostęp do bankowości elektronicznej i wykonywanie tam określonych operacji. Przykładem jest nieuprawnione przechwycenie takich danych np. w sklepie internetowym, podczas transakcji. Przejęte dane – login i hasło – pozwalają następnie wejść na konto bankowości elektronicznej zaatakowanego użytkownika i wyprowadzenie zeń środków.
DDoS
Jest to atak, którego celem jest zablokowanie możliwości logowania użytkownika na stronę internetową poprzez jednoczesne logowanie na tę samą stronę się wielu użytkowników. Wywoływany w ten sposób sztuczny ruch wzmacnia zainteresowanie użytkowników np. produktem dostępnym w sklepie internetowym.
Malvertising
Atak ten pozwala na dotarcie do użytkowników przeglądających zaufane strony internetowe a następnie na instalowanie bez wiedzy i zgody użytkownika złośliwego oprogramowania na urządzeniach użytkownika. Działanie takie dokonuje się poprzez nośniki jakimi są udostępniane na stronach internetowych reklamy, czy linki.
SQL Injection
Istotą tego ataku jest wykorzystywanie luk występujących w zabezpieczeniach portali, dedykowanych stron www, aplikacji, a dzięki temu pozwalającym na uzyskanie przez osoby nieuprawione danych osobowych.
Ransomware
Jest to ataku zmierzający do przejęcia i zaszyfrowania danych użytkownika w pierwszym kroku. W drugim kroku dane zostają zaatakowanemu użytkownikowi zwrócone pod warunkiem spełnienia przez niego żądania atakujących. Żądanie to może dotyczyć np. wniesienia okupu, czy wykonania innej niekorzystnej z punktu widzenia zaatakowanego użytkownika czynności.
Trudno zatem nie uświadomić sobie, jakie może dla przedsiębiorstwa kolejowego wywołać skutki skuteczne przepuszczenie jednego z ww. ataków. Atak DDoS na sieć sprzedaży internetowej może skutecznie zablokować portal sprzedażowy na wiele godzin, wtargnięcie do systemu odpowiadającego za prowadzenie ruchu pociągów w krytyczny sposób zagraża bezpieczeństwu ruchu kolejowego, a zatem bezpieczeństwu ludzi, mienia i przesyłek, a nieuprawnione przejęcie kontroli nad systemami odpowiadającymi m.in. za informację pasażerską może wywołać – poprzez wprowadzenie i emisję błędnych i fałszywych treści – reakcje dezorientacji, gniewu, czy paniki. Inne skutki nieuprawnionego dostępu do systemów IT podmiotów rynku kolejowego nie wymagają zapewne szczegółowego omawiania, bo ich ogromną szkodliwość nie trudno sobie wyobrazić.
Jak już wspomniałem na wstępie, artykuł ten nie jest prezentacją możliwych konkretnych rozwiązań technicznych i informatycznych, a próbą usystematyzowania podstawowych zestawów narzędzi z punktu widzenia przedsiębiorstwa kolejowego będącego użytkownikiem systemów IT. Stąd też skupię się na wskazaniu zagregowanych zestawów narzędzi IT zapewniających bezpieczeństwo w cybreprzestrzeni, zlokalizowanych, jak zaznaczono na wstępie, w dwóch obszarach: rozwiązań organizacyjnych oraz technicznych.
Rozwiązania organizacyjne skupiają się wokół wdrażanych przez coraz więcej firm politykach bezpieczeństwa. To właśnie polityka bezpieczeństwa stanowi swoisty kodeks przyjętych w organizacji reguł postępowania w zakresie zachowania należytego poziomu bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego i bezpieczeństwa fizycznego. Dokument ten jest bardzo często elementem systemu zarządzania bezpieczeństwem informacji. W szczególności dokument ten zawiera obowiązki wszystkich użytkowników sieci IT, a także osób w organizacji związanych z nadzorem nad sieciami, nad ich utrzymaniem (serwisem). W szczególności polityka bezpieczeństwa powinna uwzględniać zarządzanie zachodzącymi w organizacji i jej otoczeniu zmianami, jeśli wywierają one najmniejszy choćby wpływ na cyberbezpieczeństwo.
Zasady bezpieczeństwa zawarte w polityce bezpieczeństwa winny być skorelowane z zasadami bezpieczeństwa odnoszącymi się do innych sfer funkcjonowania organizacji. W transporcie kolejowym dotyczy to w szczególności systemu zarządzania bezpieczeństwem (SMS) oraz systemu zarządzania utrzymaniem taboru (MMS), jeśli oczywiście organizacja takie utrzymanie świadczy i jest zobowiązana do opracowania MMS. Oczywiście, jeśli organizacja wdrożyła system zarządzania jakością, polityka bezpieczeństwa musi stanowić jeden z istotnych elementów tego systemu.
