Branża transportowa i logistyczna narażona na cyberataki. Cyfryzacja branży to szanse, ale i zagrożenia

Branża TSL jest sektorem infrastruktury krytycznej o kluczowym znaczeniu dla gospodarki i bezpieczeństwa międzynarodowego. Korzysta z najnowszych technologii automatyzacji i optymalizacji transportu stając się podatna na cyberataki. Odwrotu od coraz większej zależności od technologii nie ma firmy sektora muszą bardziej przyłożyć się do wdrożenie efektywnych zabepieczeń.

Na razie jest ona niska. Na każde trzy ataki, dwa odnoszą skutek. Te niepokojące wnioski płyną z publikacji „The Blue Report 2023”, przygotowanej przez analityków z firmy PICUS, dostarczającej technologię symulacji naruszeń i ataków w sieci.

Z badsania przeprowadzonego przez KPMG wynika, że w 2023 roku 66% firm w Polsce odnotowało incydenty polegające na naruszeniu bezpieczeństwa – co stanowi wzrost o 8 p.p. w porównaniu z 2022 rokiem. 1 na 10 badanych organizacji w ciągu poprzedniego roku zarejestrowała ponad 30 cyberincydentów. W tej grupie prawie jedną trzecią stanowiły duże firmy zatrudniające powyżej 250 pracowników.

Pomimo większej liczby zaobserwowanych naruszeń bezpieczeństwa w 2023 roku, w tegorocznej edycji badania zauważalny jest spadek obaw przedsiębiorstw związanych z zagrożeniami ze strony różnych cyberprzestępców. O 17 p.p. zmniejszyły się obawy dot. działania zorganizowanych grup cyberprzestępczych, które wciąż pozostają w oczach respondentów największym zagrożeniem w sieci (53% wskazań). Z kolei o 14 p.p. zmniejszył się odsetek firm, które obawiają się cyberterrorystów. Połowa respondentów obawia się zagrożenia wynikającego z działalności pojedynczych hakerów. Blisko ¼ firm dostrzega zagrożenie płynące z działania niezadowolonych lub podkupionych pracowników.

Co ciekawe, w kontekście trwającej wojny w Ukrainie, odsetek firm wskazujących na zagrożenie ze strony grup wspieranych przez obce państwa zmniejszył się z 38% do 24%.

- Wysoce niepokoi zmniejszenie obaw polskich firm względem zaawansowanych grup cyberprzestępczych. Przy obecnej sytuacji geopolitycznej nasilenie cyberataków ze strony grup wspieranych przez obce państwa jest bardzo prawdopodobne. Cyberwojna trwa. Szczególnie narażeni na cyberataki są operatorzy usług kluczowych. Konieczne jest dziś zwiększenie czujności oraz zapewnienie pełnej gotowości zespołów cyberbezpieczeństwa. Wykrycie zaawansowanych hakerów, którzy mogą być już w sieci, wymaga proaktywnych działań oraz wsparcia nowoczesnymi narzędziami - komentuje Michał Kurek, Partner, KPMG Consulting, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej.

Spadek świadomości zagrożenia wśród firm stoi w opozycji do danych CERT Poslka. Od czasu rozpoczęcia wojny w Ukrainie zaobserwował znaczne nasilenie aktywności grup APT (ang. Advanced Persistent Threats) czyli zorganizowanych grup odpowiadająych za długotrwałe i wysoce niebezpieczne ataki, często wiązanych z obcymi państwami. Większość tych działań ma na celu pozyskanie informacji, ale w 2023 r. zdarzały się również ataki – wymierzone w szczególności w sektor transportu i w logistykę – których celem było zakłócenie ciągłości działania. Można zauważyć, że znaczna część grup jest wiązana z Federacją Rosyjską i niektóre z nich przejawiają stałą aktywność.

CERT w raporcie za 2023 r. wymienił m.in. powiązaną z Rosją grupę APT28 w roku 2023, której ataki pozwalały na przejęcie skrótu hasła domenowego po otrzymaniu przez ofiarę spreparowanej wiadomości e-mail. Nie wymagało to żadnej interakcji ze strony użytkownika. Z przechwyconego skrótu atakujący był w stanie odzyskać hasło, jeśli nie było ono wystarczająco złożone. Ustalono, że celami ataków były polskie firmy z sektorów transportu, energetyki i zbrojeniowego. W kolejnych miesiącach obserwowaliśmy powtarzające się stosunkowo proste kampanie phishingowe (ukierunkowane na przejęcie haseł do kont pocztowych) oraz dystrybuujące złośliwe oprogramowanie. Większość tych kampanii była wysyłana do szerokiego grona odbiorców z sektorów będących w obszarze zainteresowania grupy.

W marcu prorosyjska grupa hakerska Noname057(16) przeprowadziła dwa cyber ataki typu DdoS na witryny internetowe dwóch spółek zarządzających kluczowymi odcinkami autostrad A1 i A2. Atak DdoS ma na celu blokadę dostępu do usług, spowodowaną wysyłaniem nadmiernej liczby żądań i zapytań do strony, która nie mogąc ich obsłużyć, zawiesza się.

Autostrada Wielkopolska SA i Gdańsk Transport Company sprawnie poradziły sobie z atakiem, który dzięki temu okazał się stosunkowo nieszkodliwy hakerzy zdołali zakłócić funkcjonowanie firmowych stron internetowych. Członkowie wspomnianej grupy poinformowali również, że celem ich działań był także polski system eToll. Krajowa Administracja Skarbowa nie potwierdziła jednak prawdziwości tych deklaracji.

- Firmy specjalizujące się w przewozie towarów i osób, jako kluczowe dla utrzymania łańcucha dostaw i realizacji potrzeb komunikacyjnych, są coraz częstszym obiektem cyberataków. W zakresie transportu osób przejęcie kontroli nad systemami stanowi realne zagrożenie dla zdrowia i życia pasażerów, choć zdecydowanie częściej ataki mają na celu wykradzenie danych lub paraliż komunikacyjny, na przykład poprzez blokowanie systemów sprzedaży biletów – mówi Jakub Gwiazdowski, Head of Partnership & Relations w Transcash.eu.

Do najbardziej spektakularnych przykładów takich ataków w ostatnich latach należał atak na Colonial Pipeline w USA w 2021 roku, który zaburzył dostawy paliwa dla odbiorców z niemal połowy kraju. Do przeprowadzenia ataku doprowadziła grupa hakerska DarkSide, która zinfiltrowała system bezpieczeństwa rurociągu i dokonała kradzieży 100 gigabajtów danych w ciągu zaledwie dwóch godzin. Kolejnym etapem ataku było zainfekowanie komputerów z lokalnej sieci oprogramowaniem typu ransomware, umożliwiając między innymi operacje księgowe. Atak nie miał bezpośredniego wpływu na zdolności przesyłowe Colonial Pipeline, jednak ze względów bezpieczeństwa podjęto decyzję o jego czasowym wyłączeniu. Atak okazał się skuteczny - Colonial Pipeline był zmuszony zapłacić hakerom okup w wysokości kilku milionów dolarów w zamian za udostępnienie klucza deszyfrującego.

Ogromny wpływ na łańcuchy dostaw miał natomiast rosyjski atak hakerski grupy NotPetya na firmę Maersk, giganta na rynku transportu morskiego. W 2017 roku jego systemy zostały zainfekowane przez złośliwe oprogramowanie, co spowodowało paraliż operacji firmy, odpowiadającej za niemal jedną piątą rynku morskiego w zakresie transportowym. Przywrócenie systemów do pełnej sprawności zajęło aż dwa tygodnie, a straty z tytułu ataku oszacowano na około 300 mln dolarów.

Branża transportowa coraz bardziej polega na cyfrowych systemach automatyzacji. Trasy planowane są przez zaawansowane algorytmy, a pojazdy stoją przed perspektywą autonomiczności. Rola ochrony przed cyberatakami będzie rosnąć.

Przykładowo, Niemcy stworzyli ramy prawne do poruszania się po drogach pojazdów autonomicznych, a producent samochodów ciężarowych MAN przymierza się do testów tych pojazdów w ruchu autostradowym. Z kolei w USA firma Gatik opracowała bezzałogowe ciężarówki, które już teraz pomagają transportować towary między punktami dystrybucji w wybranych stanach bez udziału kierowców.

- Już od lat standardem jest planowanie tras przez systemy TMS, a upowszechnienie eCMR to kwestia czasu, podobnie jak wymiana obecnych tachografów na sprzęty II generacji. Na dalszym, ale już widocznym horyzoncie, są natomiast ciężarówki autonomiczne, zdolne do przewozu ładunków bez pomocy kierowcy dzięki pełnej automatyzacji systemów. To, co jeszcze przed dekadą wydawało się abstrakcyjnym rozwiązaniem, dziś staje się rzeczywistością między innymi w Niemczech i USA – mówi ekspert Transcash.eu.

Bezpieczeństwo sieci i systemów informatycznych w UE ma zwiększyć dyrektywa NIS2, która weszła w życie z początkiem 2023 roku.

- To znowelizowana wersją pierwotnej dyrektywy w sprawie bezpieczeństwa sieci i informacji UE z 2016 roku. Konieczność aktualizacji zawartych w niej zapisów jest bezpośrednią konsekwencją coraz większej skuteczności i wyrafinowania metod stosowanych przez hakerów. Kraje członkowskie mają obowiązek przyjęcia dyrektywy i spełnienia jej zasad do 17 października 2024 roku - tłumaczy Jakub Gwiazdowski, Head of Partnership & Relations w Transcash.eu.

Wdrożenie jej zasad w Polsce może napotkać trudności natury finansowej, ponieważ wymaga dalszych inwestycji w obszar ochrony cyfrowych danych. Kluczowe zmiany w jej brzmieniu w stosunku do pierwotnej wersji (NIS) obejmują m.in. poszerzenie listy podmiotów upoważnionych do przestrzegania dyrektywy i zgłaszania naruszeń bezpieczeństwa, wdrożenie obowiązkowych środków zarządzania ryzykiem w cyberprzestrzeni oraz przeprowadzanie szkoleń i audytów w tym zakresie, a także grzywny i sankcje w razie braku wdrożenia środków narzuconych przez dyrektywę.