Jesienią ubiegłego roku miały ruszyć połączenia kolejowe z Wrocławia do Świdnicy przez Sobótkę. Wrocławianie wiedzą, co to za połączenie i dlaczego jest takie "kultowe" - szczególnie dla (dawniej) młodych ludzi. Wybrałem się na spacer i proszę popatrzeć, tak wyglądają nowo wybudowane przystanki:
Opóźnienie jest spore ale ja nie mam o to pretensji. Roboty było dużo a przy tak dużych przedsięwzięciach opóźnienia mogą się zdarzyć. Cóż, można było nie obiecywać tak optymistycznych terminów ale w polityce - jak wszyscy wiemy - każdy musi obiecywać inaczej zostanie wzięty za nieudacznika.
Jest jednak poważniejsza sprawa: cyberbezpieczeństwo w sektorze kolejowym.
Stały Komitet Rady Ministrów niedawno (pod koniec marca) zaakceptował projekt kolejnej nowelizacji ustawy o Krajowym Systemie Cyberbezpieczeństwa. W „Uzasadnieniu Nowelizacji …” z dnia 15 marca 2022 czytamy (podkreślenie moje):
Ustawa, kształtując krajowy system cyberbezpieczeństwa, umożliwiła podjęcie prac nad jego dalszym rozwojem. Doświadczenia zebrane w ciągu dwóch lat funkcjonowania systemu w Polsce wskazują na konieczność wprowadzenia rozwiązań, wymagających dokonania zmian na poziomie ustawowym.
(….)
W kontekście podnoszenia poziomu cyberbezpieczeństwa kluczowe znaczenie ma kwestia dostępu do wiedzy eksperckiej dotyczącej cyberzagrożeń. Do tej pory powstało w Polsce tylko jedno centrum wymiany informacji pomiędzy podmiotami krajowego systemu cyberbezpieczeństwa – ISAC (Information Sharing and Analysis Center).
Na marginesie, wpadła mi w ręce opinia jednego z najwybitniejszych (b. znanego) prawników - konstytucjonalisty dotycząca tejże nowelizacji. Uwielbiam, kiedy prawnicy zabierają głos w sprawach cyberbezpieczeństwa. Skutecznie dowodzą, że nie rozumieją o co chodzi. Ale to temat na inną notkę.
Jedna z wcześniejszych nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwie wprowadziła możliwość (ale nie obowiązek) tworzenia tzw. Sektorowych ISAC. Tym centrum wymiany informacji o którym wspomniano w "Uzasadnieniu nowelizacji ..." jest „ISAC-Kolej” – utworzony w strukturach sektora kolejowego.
26 października 2020 roku PKP S.A. opublikowały komunikat w którym czytamy (podkreślenie moje):
Spółki kolejowe wraz z Instytutem Kolejnictwa oraz NASK - Państwowym Instytutem Badawczym podpisały porozumienie w sprawie powołania Centrum Wymiany i Analizy Informacji ISAC-Kolej. To pierwsze tego typu przedsięwzięcie w Polsce.
Głównymi celami przyświecającymi powołaniu ISAC – Kolej (z ang. ISAC – Information Sharing and Analysis Center) jest stała wymiana wiedzy oraz doświadczeń z zakresu incydentów dotyczących cyberbezpieczeństwa pomiędzy uczestniczącymi w przedsięwzięciu podmiotami. Takie działanie przyczyni się do zwiększenia poziomu bezpieczeństwa w transporcie kolejowym poprzez wypracowanie spójnych standardów, dobrych praktyk, polityk i procedur w tym zakresie oraz usprawni współpracę z krajowymi oraz międzynarodowymi zespołami cyberbezpieczeństwa.
(…)
Inicjatywa ma również kluczowe znaczenie z punktu widzenia funkcjonowania całej kolei, gdyż przyczynia się do podniesienia odporności na cyberzagrożenia systemów teleinformatycznych wykorzystywanych przez transport kolejowy. Podniesienie poziomu bezpieczeństwa IT przyczyni się do wzrostu ogólnego bezpieczeństwa krytycznej infrastruktury kolejowej, na którą składają się zarządzanie liniami kolejowymi, przewozy pasażerskie i towarowe.
Źródło: https://www.pkp.pl/pl/pkp-aktualnosci/2800-grupa-pkp-zwieksza-poziom-cyberbezpieczenstwa
Czyli przejazdy z Wrocławia do Świdnicy (i z powrotem) również są (będą) przedmiotem zainteresowania kolejowych ekspertów od cyberbezpieczeństwa. Tak mi się wydaje i tak chyba powinno być...
Podmioty kolejowe, które zaangażowały się w powstanie ISAC-Kolej to:
• PKP S.A.
• PKP Intercity S.A.
• PKP CARGO S.A.
• PKP Informatyka Sp. z o.o.
• PKP Linia Hutnicza Szerokotorowa Sp. z o.o.
• PKP Szybka Kolej Miejska w Trójmieście Sp. z o.o.
• PKP Polskie Linie Kolejowe S.A.
Z okazji powołania ISAC-Kolej głos zabrał minister infrastruktury:
Podpisanie porozumienia ISAC-Kolej jest ważnym krokiem w kierunku wzmocnienia cyberbezpieczeństwa w sektorze kolejowym, który jest jedną ze strategicznych gałęzi gospodarki. Dlatego tak bardzo cieszy mnie podjęcie inicjatywy przez spółki kolejowe w tym zakresie. Zapewnienie bezpieczeństwa sieci teleinformatycznych we współczesnym świecie to podstawa i ważny obszar współpracy, zwłaszcza że liczba incydentów i ataków na nie stale rośnie
Źródło: https://cyberpolicy.nask.pl/aktualnosci/powolano-isac-kolej/
Głos zabrał również ówczesny wiceminister aktywów państwowych – Janusz Kowalski:
Podpisane porozumienie to znaczący krok ku zwiększeniu bezpieczeństwa sieci teleinformatycznych w całej branży kolejowej. To także dowód na to, że spółki z Grupy PKP przywiązują dużą wagę do kwestii zapobiegania oraz walki z cyberprzestępczością, zapewniając tym samym większe bezpieczeństwo przewozów oraz funkcjonowania infrastruktury. Dzięki takim inicjatywom pasażerowie polskich pociągów mogą podróżować w poczuciu bezpieczeństwa
Źródło: https://cyberpolicy.nask.pl/aktualnosci/powolano-isac-kolej/
Cóż za deklaracje. Czują się Państwo bezpieczniej?
Czas zadać fundamentalne pytanie: jak potoczyły się losy "ISAC-Kolej?
W sierpniu 2021 roku pojawiła się w mediach następująca informacja:
W Centrum Wymiany i Analizy Informacji ISAC-Kolej opracowano wytyczne dotyczące cyberbezpieczeństwa dla pracowników kolei. Opracowanie powstało na podstawie udostępnionego przez Komisję Europejską dokumentu „Transport cybersecurity toolkit”. Wytyczne dostępne są w najnowszym wydaniu „Problemów Kolejnictwa” - informuje Urząd Transportu Kolejowego.
Źródło: https://www.rynek-kolejowy.pl/mobile/poradnik-cyberbezpieczenstwa-dla-pracownikow-kolei-103733.html
Po prawdzie, to nie opracowano a przetłumaczono. Dodano do tego artykuł (o charakterze wyjaśnień) zamieszczony w jednym z czasopism branżowych i tyle. Ale OK, coś jest.
W listopadzie 2021 roku, czyli ... już(!) w rok po powołaniu ISAC-Kolej zarejestrowano domenę internetową (i/lub) utworzono witrynę internetową o nazwie „isac-kolej.pl”. Dwa dni temu, 27 kwietnia 2022, zajrzałem na tę stronę internetową, żeby zobaczyć jak się sprawy mają i zobaczyłem to:
Przypominam, ISAC-Kolej powołano w październiku 2020 roku a witryna utworzona 6 miesięcy temu wygląda jak wygląda – nie ma co ukrywać, że nie wygląda. I co ciekawe, witryna oparta jest na protokole http a nie https!!!
Cyberbezpieczeństwo to poważna sprawa. Nie można o nim chlapać na lewo i prawo. Nie można ujawniać podejmowanych działań mających na celu zapobieganie zagrożeniom w cyberprzestrzeni. Poufność jest tu wskazana. Jest to zrozumiałe. Ale jeżeli tworzy się stronę internetową, która powinna czemuś służyć (a nie być ledwie kwiatkiem do kożucha) to ta strona powinna jakoś wyglądać. Szczególnie po 6 miesiącach od jej uruchomienia. Ale żeby nie dać rady zrobić nawet witryny internetowej o charakterze wizytówki?
Chyba ... chyba, że nikt z zaangażowanych nie wie, do czego ta strona internetowa ma służyć …
Muszę dodać gwoli ścisłości, że na początku tego roku ISAC-Kolej utworzył profil na Twitterze:
Sęk w tym, że jak się popatrzy na wpisy na tym profilu to są to praktycznie tweety powielające informacje pochodzące z trzecich źródeł – retweety. Widać zresztą, że potencjalnych źródeł retweetów jest sporo bo 90.
Może tak ma być?
Mam nieodparte wrażenie, że powołano ISAC-Kolej bez głębszego przygotowania: bez poważnego planu działania. Nie ma planu, zatem nie ma co robić i nie ma za co rozliczać. Może dlatego to tak wygląda, że ISAC-Kolej powstał woluntarystycznie – prawo tego nie wymaga. A skoro nie wymaga, to … w czym problem?
Za cyberbezpieczeństwo polskiego systemu kolejowego odpowiada minister infrastruktury – jest on bowiem wskazany w ustawie jako tzw. „podmiot odpowiedzialny” w odniesieniu do sektora kolejowego. Z drugiej strony to PKP S.A. pełni – z oczywistych powodów - naturalną rolę sterującą działaniem ISAC-Kolej.
Ja rozumiem, że pokazanie się w telewizji z okazji zakończenia oddania do użytku jakiegoś odcinka linii kolejowej lub remontu dworca ma swoje zalety – również PR-owe. Ale cyberbezpieczeństwo jest równie ważne. Może by zatem pan minister infrastruktury i pan prezes PKP S.A. - zanim pojawią się na otwarciu przystanków na trasie Wrocław – Świdnica - zainteresowali się losami ISAC-Kolej.
Panie ministrze infrastruktury, panie prezesie zarządu PKP S.A:
PRACA czeka - sama się nie zrobi.
Oczywiście, o ile wiadomo co trzeba zrobić ...
A może ktoś podszywa się (na twitterze i na stronie isac-kolej.pl) pod "ISAC-Kolej" utworzony pod patronatem PKP S.A.?
Nie wiem, co byłoby gorsze: podszywanie się czy brak działania
Jestem świadomy, że nie wystarczy dużo wiedzieć, aby być mądrym człowiekiem . . . . . . . . . . . . . . . . . . . . . Tu bywam: https://twitter.com/starywrocek
Nowości od blogera
Inne tematy w dziale Technologie