Nad ranem doszło do awarii urządzeń sterowania w lokalnych centrach odpowiedzialnych za prowadzenie ruchu kolejowego. W Polsce takich miejsc jest ponad 30. Doprowadziło to do poważnych opóźnień w kursowaniu pociągów. Gościem radia RMF24 był prof. Marek Pawlik, dyrektor do spraw Interoperacyjności Instytutu Kolejnictwa, ekspert m.in. z dziedziny cyberbezpieczeństwa w transporcie kolejowym.
Około godziny 12 w czwartek firma Alstom w przesłanym komunikacie poinformowała, że "jest świadoma błędu w formatowaniu czasu, który ma obecnie wpływ na dostępność sieci kolejowej, a co za tym idzie na transport kolejowy w Polsce. Nie było żadnego cyberataku. Bezpieczeństwo pasażerów nie jest zagrożone". A oto zapis porannej rozmowy z profesorem Markiem Pawlikiem:
Bogdan Zalewski: Panie profesorze, tak ostrożnie zapytam. PKP PLK nie wyklucza, że doszło do ataku hakerskiego. Czy pan to wyklucza?
Profesor Marek Pawlik: Na pewno wykorzystana została podatność cyfrowa.
Co to znaczy? Bo to tak brzmi trochę eufemistycznie. Jakby pan wyjaśnił wprost, prostymi słowami.
Ja może zacznę ciut, że tak powiem, z wyższego poziomu. Od 2016 roku jest osobny dokument na poziomie Unii Europejskiej, który definiuje podmioty, które muszą się martwić o cyber zagrożenia.
To jest taki wspólny system unijny, jak rozumiem?
Tak. On między innymi dotyczy transportu kolejowego. Zarządca infrastruktury jest tzw. operatorem usług kluczowych w tym zakresie i musi prowadzić zarówno analizy dotyczące identyfikacji miejsc, w których może zostać zaatakowany, takich czułych punktów, jak i zabezpieczać się przed tym. Musi również wymieniać się tymi informacjami z innymi organizacjami, które mogą być zagrożone. Najpoważniejsze wyzwanie polega na tym, że ta sfera cyfrowa jest w dużej mierze wspólna dla bardzo różnych branż. Jest wielowarstwowa i w związku z tym różne rzeczy, które się zdarzają, propagują się po tym świecie cyfrowym.
Pan używa takiego słowa fachowego - "propagują", czyli jeżeli dobrze rozumiem, to jeżeli nastąpi taki punktowy atak, powiedzmy na jakieś centrum, to to się może rozpowszechniać jak wirus, tak?
Tak. Przy czym może pokonywać bez większego kłopotu bariery między różnymi obszarami, czyli mówiąc inaczej, coś co jest podatnością, czyli takim wrażliwym punktem w tej klasie systemów, jak jest atakowane, to odbija się nie tylko na przykład na kolei, ale jednocześnie np. na zupełnie innej, nie związanej branży.
Jakie to mogą być obszary?
Na przykład w ochronie środowiska. Mówiąc inaczej, dzisiaj mamy zgodnie z regulacjami europejskimi zidentyfikowane obszary, które z tego typu rozwiązań korzystają: banki i usługi finansowe, dostawę wody pitnej, zasilanie elektryczne dla wszystkich i dla przemysłu i dla użytkowników.
To wszystko jest ze sobą zintegrowane. To jest taki Internet Rzeczy?
Korzystamy wszyscy ze wspólnej, nazwijmy to hasłowo infrostrady, tak.
A czy ktoś mógł teraz te infostradę zaatakować? W tym momencie?
Powiedzmy precyzyjnie, co się wydarzyło. Ktoś wykorzystał zidentyfikowaną podatność w jednym konkretnym rodzaju systemów. To są lokalizacje, które są wyposażone przez tego samego producenta w tę samą wersję systemu.
I co to znaczy?
To oznacza, że nie w ciągu trzech minut jak widać, bo atak był już parę godzin temu, ale jesteśmy w stanie się stosunkowo szybko zabezpieczyć. W tej chwili już te systemy są stawiane.
Czyli to był dla nas taki crash test, tak?
Tak można powiedzieć, natomiast mamy cztery rodzaje ataków, które są traktowane w transporcie jako prawdopodobne i one mogą mieć różne wektory ataku. Pierwszy będzie najprostszy, bo to jest powiedzmy złośliwe oprogramowanie. Drugi, to są ataki DDoS, czyli mówiąc inaczej spowodowanie takiej sytuacji, kiedy system nie jest w stanie pracować. Tego rodzaju atak mieliśmy dzisiaj. Trzeci, to jest kradzież danych i szantaż. Czwarty, to jest manipulacja oprogramowaniem prowadząca do sytuacji niebezpiecznych.
Czyli malware, DDoS, szantaż?
Czyli ransomware i manipulacja oprogramowaniem. Ta ostatnia jest najgroźniejsza, ale przed tym jesteśmy zabezpieczeni od lat 90., bo to było zidentyfikowane przy wchodzeniu cyfrowych systemów na transport kolejowy w zakresie sterowania.
Mamy teraz taką bardzo szczególną sytuację. Mamy transport kolejowy, bardzo wzmożony, mamy ruchy uciekinierów przed Putinem z Ukrainy. Czy ten moment został wybrany nieprzypadkowo?
Nie mogę powiedzieć za dużo, ale mogę powiedzieć, że od stycznia obserwujemy bardzo poważny wzrost zagrożeń w sieci.
I jeszcze jedna sprawa, tak na koniec zupełnie panie profesorze. Tutaj na naszej stronie internetowej RMF24.pl przeczytałem, że w tym samym okresie Czesi też mieli taki problem, czyli to by się potwierdzało, to co pan mówi, że to jest taki nasz wspólny, unijny system.
Dopiero co był również atak na Koleje Białoruskie w kontekście wydarzeń na Ukrainie.
Czyli trwa wojna hybrydowa, cyberwojna?
Tak. Nie mam co do tego żadnej wątpliwości.