5 min. czytania 8 gru 2022
Raport EY i Ministerstwa Infrastruktuty: Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce

Raport EY, Ministerstwa Infrastruktury i NASK PIB: Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce

Autor Leszek Mróz

EY Polska, Technology Consulting, OT/IoT Security Hub, Partner

Partner w centrum kompetencji EY dla usług doradztwa biznesowego OT/IoT. W życiu prywatnym i zawodowym zawsze stawia sobie wysoko poprzeczkę.

5 min. czytania 8 gru 2022

Cyberbezpieczeństwo w sektorze transportu w Polsce – czy jesteśmy gotowi na nową dyrektywę NIS 2? 

Poziom cyberbezpieczeństwa w sektorze transportu wzrósł znacząco w ostatnich latach, zwłaszcza dzięki wdrożeniu ustawy o krajowym systemie cyberbezpieczeństwa. Wszystkie badane podmioty zapewniają ochronę przed cyberatakami na co najmniej podstawowym poziomie – wynika z raportu Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce, przygotowanym przez EY Polska, Ministerstwo Infrastruktury i Państwowy Instytut Badawczy NASK. Jednak przed Polską nowe wyzwania – 28 listopada Unia Europejska przyjęła nowe prawo w zakresie cyberbezpieczeństwa, tzw. Dyrektywę NIS 2, która będzie implementowana do prawa polskiego. Czy sektor transportu jest gotowy na nadchodzące zmiany prawne?

 

Pobierz raport

 

Sektor transportu jest jednym z newralgicznych obszarów gospodarki, a postępująca cyfryzacja sprawia, że jest on coraz bardziej podatny na zagrożenia teleinformatyczne. Firma doradcza EY Polska, wspólnie z Ministerstwem Infrastruktury i NASK Państwowym Instytutem Badawczym, zbadały dojrzałość sektora transportu w Polsce w zakresie cyberbezpieczeństwa. Wyniki badania są zaprezentowane w raporcie Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce.

Poziom cyberbezpieczeństwa w sektorze transportu wzrósł znacząco w ostatnich latach, zwłaszcza dzięki wdrożeniu ustawy o krajowym systemie cyberbezpieczeństwa i przygotowaniom do Dyrektywy NIS2. Nasz raport pokazuje obszary, w których podmioty dokonały ulepszeń i rekomenduje działania umożliwiające dalszy rozwój ochrony przed zagrożeniami teleinformatycznymi, tak aby przygotować się do wymagań Dyrektywy NIS2
Rafał Weber
Sekretarz Stanu w Ministerstwie Infrastruktury

Raport przedstawia analizę trzech segmentów transportu – kolejowego, lotniczego i wodnego – w których na podstawie ustawy o krajowym systemie cyberbezpieczeństwa wyznaczono operatorów usług kluczowych.

 

Raport EY, Ministerstwa Infrastruktury i NASK PIB:
Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce 

Cyberbezpieczeństwo w sektorze transportu w Polsce – czy jesteśmy gotowi na nową dyrektywę NIS 2? 

Pobierz raport

Z naszej analizy wynika, że wszystkie badane podmioty zapewniają ochronę przed cyberatakami na co najmniej podstawowym poziomie. Część ma wyższy poziom dojrzałości, o czym świadczą chociażby wdrożone programy szkoleń czy systemowe podejście do zarządzania ciągłością działania

Szczególnie dobrze wypadły w tym względzie podmioty w obszarze lotnictwa, gdzie 7 spośród 12 operatorów usług kluczowych posiada wyższą dojrzałość w zakresie cyberbezpieczeństwa. 

Niezależnie od raportu EY, MI i NASK, urzędnicy, w ramach działań organu właściwego ds. cyberbezpieczeństwa, skontrolowali już co trzeciego operatora usług kluczowych w sektorze transportu.

Z przeprowadzonych przez nas kontroli wynika, że operatorzy usług kluczowych zarządzają ryzykiem, wdrożyli systemy zarządzania bezpieczeństwem informacji, utrzymują je oraz doskonalą, zgodnie z wymogami ustawy
Rafał Weber
Sekretarz Stanu w Ministerstwie Infrastruktury

Lotnictwo świadome ryzyka

Liczba naruszeń bezpieczeństwa teleinformatycznego w sektorze transportu w Polsce wciąż jest niewielka – wynika z danych CERT Polska z lat 2019-2021. Nie przekroczyła ona 1 proc. wszystkich zgłoszonych incydentów w tym okresie.

W skali światowej najbardziej narażony na cyberataki jest sektor lotniczy, który w coraz większym stopniu korzysta z rozwiązań informatycznych – od rezerwacji lotu, poprzez oprogramowanie na lotniskach i w samolotach, po pokładowe systemy informacyjno-rozrywkowe dla pasażerów. Najnowsze systemy są integrowane z systemami informatycznymi poprzednich generacji, które nie były projektowane ze szczególną myślą o zagrożeniach teleinformatycznych.

Liczba cyberataków w światowym lotnictwie systematycznie rośnie od 2018 r.; nasiliły się one szczególnie w trakcie pandemii COVID 19, gdy przestępcy wykorzystali zaburzenia w sektorze lotniczym spowodowane lockdownami. Koszt oszustw na fałszywych stronach internetowych udających strony sektora lotniczego szacuje się na ok. 1 mld dol. rocznie. Coraz częściej dochodzi do ataków ransomware: w 2020 r. zgłoszono 62 takie incydenty. To oznacza, że nie ma tygodnia bez tego rodzaju incydentu. 

W polskim transporcie lotniczym cyberzagrożenie jest niewielkie, a liczba incydentów utrzymuje się na podobnym poziomie od lat: 6 incydentów w 2020 r., 9 incydentów w 2021 r. i 8 incydentów w 2022 r. – wynika z danych CERT Polska.

Światowa branża lotnicza rozumie ryzyka teleinformatyczne i systematycznie przeciwdziała im w skali globalnej. Dobrze funkcjonują podmioty zajmujące się cyberbezpieczeństwem sektora lotniczego w Polsce. Większość podmiotów badanych przez EY, MI i NASK ma specjalny zespół do zarządzania cyberbezpieczeństwem.

Są to zespoły interdyscyplinarne, gdzie obok specjalistów z wiedzą techniczną obecni są specjaliści z obszaru zarządzania ryzkiem oraz posiadający wiedzę na temat regulacji prawnych

Drugim pod względem ryzyka teleinformatycznego jest dynamicznie rozwijający się w ostatnich latach obszar transportu wodnego. Transformacja cyfrowa portów morskich spowodowała, że stały się one częstszym celem cyberprzestępców. Kilkakrotnie obserwowaliśmy paraliż portów w skali globalnej, prowadzący do destabilizacji niektórych funkcji atakowanych państw.

Sektor kolejowy jest w niewielkim stopniu celem cyberataków: do 2020 r. nie zanotowano bezpośrednich ataków na przewoźników, wynika z raportu Agencji Unii Europejskiej  ds. Cyberbezpieczeństwa (ENISA). Będzie się to jednak prawdopodobnie zmieniać wraz z postępującą cyfryzacją tego obszaru. CERT Polska zarejestrował 3 incydenty w krajowym sektorze kolejowym w 2020 r.; rok później było ich już 55. W 2022 r. w związku z wojną na Ukrainie doszło do kilku cyberataków na strony internetowe przewoźników.

Nowe obowiązki wynikające z Dyrektywy NIS2

Liczba podmiotów, które będą zobowiązane do raportowania incydentów zagrożenia teleinformatycznego gwałtownie wzrośnie po implementacji Dyrektywy NIS2, która została przyjęta 28 listopada 2022 r i wejdzie w życie po upływie 21 miesięcy. Nowa legislacja swoim zakresem obejmuje nie tylko wyznaczone przedsiębiorstwa, ale wszystkie średnie i duże organizacje działające we wskazanych sektorach. 

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, a także propozycja Dyrektywy NIS2 wprowadzają wiele wyzwań dla podmiotów krajowego systemu cyberbezpieczeństwa we wszystkich sektorach. Warto zawczasu przygotować się na nadchodzące zmiany poprzez ocenę aktualnego poziomu dojrzałości organizacji w obszarze cyberbezpieczeństwa. Dotyczy to nie tylko operatorów usług kluczowych z sektora transportu, ale również innych podmiotów, które mogą zostać objęte nowymi przepisami
Krzysztof Silicki
Zastępca Dyrektora NASK, Dyrektor ds. Cyberbezpieczeństwa i Innowacji

Zapisz się na newsletter „EY Technology”

Otrzymuj comiesięczny zestaw najciekawszych artykułów, raportów i analiz z zakresu technologii dla biznesu. 

Zapisz się

Podsumowanie

O badaniu "Dojrzałość w obszarze cyberbezpieczeństwa sektora transportu w Polsce"

Ministerstwo Infrastruktury, NASK PIB oraz EY Polska przeprowadziły wspólne badanie dojrzałości sektora transportu w obszarze cyberbezpieczeństwa w kontekście wdrażania w sektorze zapisów ustawy o krajowym systemie cyberbezpieczeństwa, a także przygotowania do nowelizacji jej zapisów i przyjętej w 2022 r. Europejskiej Dyrektywy NIS2. Raport oparty jest na wynikach ankiet z 24 podmiotów – operatorów usług kluczowych wyznaczonych przez Ministerstwo Infrastruktury w sektorze transportu w Polsce obejmujących kolej, lotnictwo i transport wodny.

Kontakt

Chcesz dowiedziec sie wiecej? Skontaktuj sie z nami.

Informacje

Autor Leszek Mróz

EY Polska, Technology Consulting, OT/IoT Security Hub, Partner

Partner w centrum kompetencji EY dla usług doradztwa biznesowego OT/IoT. W życiu prywatnym i zawodowym zawsze stawia sobie wysoko poprzeczkę.