Już za kilka miesięcy dojdzie do nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa w myśl dyrektywy NIS2 w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terenie Unii Europejskiej. Pojawią się bardzo restrykcyjne wymogi dotyczące bezpieczeństwa systemów informatycznych, a w dużej mierze obejmą one podmioty publiczne, a także duże i średnie przedsiębiorstwa działające w transporcie. Sektor transportowy został uznany za krytyczny, więc bezpośrednio dotyczyć go będą przepisy odnoszące się do podmiotów kluczowych i ważnych. Dziś przedstawiamy osiem kluczowych zagadnień związanych z obszarem bezpieczeństwa sieci z punktu widzenia branży transportowej w kontekście NIS2. Nie warto ich bagatelizować, ponieważ niedostosowanie się do nowych przepisów na terytorium Unii wiązać się będzie między innymi z bardzo wysokimi administracyjnymi karami pieniężnymi. 

Zabezpieczenie systemu sterowania ruchem w myśl nowych przepisów

Prawdopodobieństwo wystąpienia incydentów związanych z cyberbezpieczeństwem w systemach sterowania ruchem, na przykład komunikacji miejskiej, metra czy kolei, jest bardzo wysokie. Dlatego podmioty, które świadczą usługi w tym zakresie, zostały w myśl dyrektywy uznane w całej Unii za krytyczne. Podmioty muszą zatem wdrożyć bardziej radykalne środki bezpieczeństwa, między innymi analizując luki w stosunku do nowych przepisów oraz wzmocnić odporność sieci na ataki nie tylko poprzez podstawowe praktyki cyberhigieny.

Ochrona systemów rezerwacyjnych i biletowych przez podmioty kluczowe w branży transportowej

Dyrektywa NIS2 uznaje systemy biletowe i rezerwacyjne za oprogramowanie krytyczne. Wymagana jest ochrona integralności przepływu danych w tych systemach, co dotyczy danych osobowych i generowanych przez pojazdy. Z tego powodu podmioty, które prowadzą działalność w branży transportowej, muszą zaktualizować swoje środki cyberbezpieczeństwa, przeanalizować ewentualne luki, a także zgodnie z nowymi przepisami zarządzać swoim łańcuchem dostaw współpracując z dostawcami oprogramowania, którzy spełniają wymagania dyrektywy.

Ciągłość działania logistycznych centrów danych

Podobne działania należy podjąć w obszarze logistycznych centrów danych, aby w razie ataków zapewnić im możliwość normalnego działania. Wśród proponowanych rozwiązań można wyróżnić wzmocnienie audytów i inspekcji dotyczących bezpieczeństwa, opracowanie planów ciągłości i odzyskiwania danych po awarii, na przykład poprzez kopie zapasowe.

Bezpieczeństwo flot pojazdów i telemetrii w zakresie cyberbezpieczeństwa

NIS2 w przypadku branży transportowej dba również o cyberbezpieczeństwo związane z flotą pojazdów. Te nowoczesne są wyposażone w systemie telemetryczne, co wymaga ich wzmożonej ochrony.

Ryzyka dotyczące łączności bezprzewodowej i IoT w transporcie

Branża transportowa od dawna korzysta z łączności bezprzewodowej oraz IoT (internet of things), co oznacza, że poszczególne pojazdy i urządzenia oraz całe sieci są podatne na ataki. Z tego powodu dyrektywa NIS2 wymaga ich lepszej ochrony, na przykład poprzez segmentację sieci, ciągłość monitorowania, szyfrowanie i regularną aktualizację oprogramowania, a także szereg innych rozwiązań.

Procedury zgłaszania incydentów po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa

Dyrektywa NIS2 wprowadza wśród podmiotów kluczowych, a więc również w branży transportowej, bardzo restrykcyjne zasady zarządzania incydentami. Te muszą być zgłaszane do odpowiednich instytucji już w ciągu 24 godzin od wykrycia, a kolejne raporty pojawiają się po 72 godzinach i po miesiącu. Firmy z branży transportowej muszą wdrożyć nowe procedury, aby spełnić ten obowiązek.

Zarządzanie tzw. third party risk (podwykonawcy, operatorzy terminali)

Dyrektywa NIS2 rozszerza odpowiedzialność podmiotów kluczowych za cyberbezpieczeństwo o pełny łańcuch dostaw. W branży transportowej nie brakuje wykonawców, operatorów i podwykonawców. Oznacza to w praktyce, że podmiot działający w branży transportowej, aby dostosować się do nowych przepisów, musi zweryfikować swoich partnerów pod względem NIS2 i zaktualizować dotychczasowe umowy, by zachowały zgodność z dyrektywą.

Potrzeba SOC i monitoringu 24/7

Podmioty działające w branży transportowej są zobowiązane do monitoringu bezpieczeństwa przez 24 godziny na dobę, a to w praktyce wymaga korzystania z Security Operations Center. Największe podmioty mogą zorganizować zespół we własnym zakresie, natomiast pozostałe powinny postawić na outsourcing, by nie ponieść zbyt wysokich kosztów funkcjonowania SOC.

NIS2 w transporcie oznacza naprawdę znaczne zmiany, dlatego bliska perspektywa wprowadzenia nowych przepisów wymaga szybkiego dostosowania się do dyrektywy.