IT to nie problem – brak jest polityki transportowej

IT to nie problem – brak jest polityki transportowej

08 marca 2018 | Źródło: Kurier Kolejowy
PODZIEL SIĘ

Wyzwań z dziedziny cyberbezpieczeństwa w branży transportowej przybywa. Przedmiotem ochrony powinny być m.in. „serwerownie na kołach”, czyli wszystkie nowo produkowane pojazdy trakcyjne. O aktualnych, ale też istniejących do dawna problemach dotyczących usług IT dla transportu publicznego rozmawiano dziś podczas spotkania z cyklu Debata z Kurierem, zatytułowanego tym razem IT4TSL.

Fot. Marek Mosiński

Wraz z rozwojem technik informatycznych oraz usług informacyjnych dostępnych online, rośnie liczba możliwych zagrożeń dla systemów informatycznych, także dla systemów wykorzystywanych w branży kolejowej i innych gałęziach transportu. – Zagrożenia przybierają najróżniejsze kształty i wszystkimi musimy stawić czoła, ponieważ przedmiotem naszej troski jest funkcjonowanie kolei. Każda awaria np. systemu sprzedaży biletów budzi wiele emocji społecznych i przekłada się na niezadowolenie pasażerów, dlatego staramy się im zapobiegać. Podejmujemy w tym celu szereg działań i stale podnosimy nasze kwalifikacje, aby zapewnić ciągłość działań systemów IT – mówi Tomasz Miszczuk, prezes PKP Informatyka.

Poziom zabezpieczeń infrastruktury IT jest proporcjonalny do zarobków informatyków zatrudnionych w spółkach. W związku z tym, że zarobki w administracji publicznej oraz w firmach kolejowych nie należą do wysokich, zabezpieczenia systemów IT nie zawsze są odpowiednie.

– W spółkach często są zaawansowane zabezpieczenia danych, ale brakuje zabezpieczeń na podstawowym poziomie. Wystarczą proste metody infiltracji i socjotechnika, aby wykraść strategiczne dane. Bo najwięcej incydentów wiąże się z czynnikiem ludzkim. Zdarza się, że pracownicy zapisują hasła i loginy na karteczkach, które przyczepiają do monitorów – opowiada Marek Zwierzchowski, kierownik działu IT w Szybkiej Kolei Miejskiej.

W celu sprawnego zabezpieczenia przed cyberatakami bez ponoszenia znacznych wydatków wiele organizacji uruchamia tzw. security operations centers (SOC), czyli centra monitorowania systemów IT pod kątem cyberbezpieczeństwa. Dzięki przystąpieniu kilku podmiotów do SOC można wspólnymi siłami stworzyć silne zabezpieczenia wielu aplikacji oraz szybko i efektywnie reagować na ewentualne ataki.

PKP Informatyka stworzyła tego typu SOC i oferuje spółkom kolejowym współpracę w tej materii. Marcin Trzaska, pełnomocnik zarządu TK Telekom, uważa, że poza spółkami z grupy PKP, może nie być chętnych do skorzystania z usług SOC w PKP Informatyce. W polskich spółkach pokutuje przekonanie, że każda firma powinna tworzyć własne zasoby i kompetencje informatyczne, także z zakresu cybersecurity. Patrząc na możliwości firm, choćby możliwości finansowe, widać, że takie zabezpieczenia są iluzoryczne. Ambicjonalne podejście spółek i niechęć do kooperacji, odbijają się więc na poziomie bezpieczeństwa informatycznego.

Według Tomasza Miszczuka problemem dla firm z branży kolejowej jest dostępność specjalistów do spraw bezpieczeństwa IT. Dlatego też PKP Informatyka wyszła z inicjatywą utworzenia na wyższych uczelniach kierunku cyberbezpieczeństwo. Spółka ma porozumienie m.in. z Katolickim Uniwersytetem Lubelskim, który przygotował taką specjalizację na studiach I stopnia oraz na podyplomowych.

Nowe elektryczne zespoły trakcyjne są wyposażone w serwery z oprogramowaniem wspierającym pracę podzespołów pojazdu oraz systemy informacji pasażerskiej. Zdaniem Marka Zwierzchowskiego, pociągi to dziś „serwerownie na kołach”, dlatego należy dbać o ich bezpieczeństwo. Trudno to sobie wyobrazić, ale przedmiotem ataku hackerów może być punkt dostępu do Internetu na pokładzie EZT albo aktualizowany zdalnie biletomat.

Uczestnicy Debaty z Kurierem przyznali, że w związku z tym pojazdy kolejowe powinny być sprawdzane pod kątem podatności na cyberataki . Maciej Niklas, dyrektor ds. kontroli inwestycji w firmie Thales, tłumaczy, że chodzi o tzw. testy penetracyjne. Aby takie działania stały się standardem, Urząd Transportu Kolejowego powinien opracować wytyczne w celu zabezpieczenia pojazdów.

– Jeśli nie będzie regulacji, przewoźnicy nie będą dbali o cyberbezpieczeństwo, ponieważ wiąże się to z kosztami. Musi więc być wymóg, a biznes do niego się dostosuje i pojawią się oferty testów penetracyjnych dla przewoźników – dodaje Marek Zwierzchowski.

Grzegorz Kuta, dyrektor Biura Bezpieczeństwa Informacji i Spraw Obronnych w PKP Polskich Liniach Kolejowych, zwraca uwagę na konieczność zapewnienia bezpieczeństwa systemom i aplikacjom na etapie ich projektowania. Wiele narzędzi IT powstaje z myślą o funkcjonalnościach, a ochrona przed atakami przechodzi wówczas na dalszy plan. PLK ze względów bezpieczeństwa zdecydowały się na odcięcie prywatnej aplikacji Mój Pociąg od danych dostępnych w serwisie portalpasazera.pl. Zdaniem Kuty, aplikacja była nakładką na system należący do spółki. Zarządca infrastruktury poczuł się zaniepokojony jej działaniem po interwencji rzecznika pasażera rozpatrującego skargę jednego z podróżnych, który nie dojechał na miejsce, gdyż rozkład w aplikacji wprowadził go w błąd.

– Po naszej reakcji wobec aplikacji spotkaliśmy się z hejtem w Internecie. Nikt nie wziął pod uwagę, że dezinformacja to też forma zagrożeń. Ewentualne skargi od pasażerów są później kierowane pod naszym adresem – tłumaczy Grzegorz Kuta.

Druga z debat, zorganizowana dziś podczas spotkania IT4TSL, poświęcona była m.in. systemom informacji pasażerskiej oraz integracji biletowej. Jej uczestnicy zauważyli, że technika nie jest problemem w integracji ofert przewoźników. Dariusz Kostrzębski, prezes spółki Kurier Kolejowy, podkreślił, że branża kolejowa nie myśli o korzyściach dla pasażerów, dlatego nie tworzy dogodnej, zintegrowanej oferty. Skomplikowane przejazdy z przesiadkami i różnymi taryfami biletowymi zniechęcają Polaków do transportu publicznego. Na chaosie korzystają jedynie producenci samochodów.

– Pasażer jest zainteresowany dogodnymi przesiadkami. Musi otrzymać przejrzystą informację pasażerską na ten temat, która poda realną godzinę przyjazdu pociągu, a nie rozkładową. Podróżny, który przyjeżdża do stolicy z innego miasta i trafia na stację Warszawa Zachodnia, widzi pociągi różnych przewoźników i kilka rodzajów biletów. Dyskusja o tym problemie toczy się od kilkunastu lat i nie ma sposobu na jego rozwiązanie – podkreśla Marek Zwierzchowski.

Zdaniem przedstawicieli przewoźników oraz dostawców usług technologicznych przeszkodą na drodze do zintegrowania ofert różnych spółek, a nawet różnych systemów transportowych, jest brak polityki transportowej państwa. Pozytywne przykłady sprawnie zorganizowanego transportu publicznego widać tam, gdzie decydenci sami z niego korzystają. Kiedy politycy dojeżdżają do pracy samochodami, nie są w stanie stworzyć warunków korzystnych dla pasażerów.

W tekście wykorzystano z wypowiedzi z Debaty z Kurierem. Pełna relacja z tego spotkania zostanie opublikowana w jednym z najbliższych wydań czasopisma „Kurier Kolejowy”.

 

PODZIEL SIĘ