Budowanie wiedzy i wprowadzanie stosownych zabezpieczeń przed cyberzagrożeniami powinny stanowić stały element działań na rzecz poprawy bezpieczeństwa transportu kolejowego. Działania te wsparł Instytut Kolejnictwa, opracowując „Wytyczne dotyczące cyberbezpieczeństwa pasażerskiego taboru kolejowego”.
Regulacje unijne, takie jak dyrektywa w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii (dyrektywa NIS 2) i wcześniejsza dyrektywa NIS, wskazują na transport kolejowy jako jeden z obszarów wymagających stosowania odpowiednich zabezpieczeń i definiują wymagania dla operatorów, w tym przewoźników kolejowych, z wyłączeniem tych, którzy zatrudniają nie więcej niż 49 osób oraz mają obroty roczne mniejsze niż 10 tys. EUR. Należy zatem przyjąć, że dyrektywa NIS 2 w praktyce wprowadza nowe obowiązki związane z bezpieczeństwem systemów wykorzystujących gromadzenie, przesyłanie i/lub przetwarzanie cyfrowych danych dla wszystkich przewoźników kolejowych w Polsce.
Jak podaje Instytut Kolejnictwa, aktualna sytuacja międzynarodowa spowodowała wzrost cyberzagrożeń w Polsce. Transport kolejowy jest również narażony na cyberataki. Obecnie do najważniejszych zagrożeń dla cyberbezpieczeństwa transportu kolejowego zaliczyć należy:
- złośliwe oprogramowanie (malware),
- rozproszone blokowanie usług (DDoS & DoS),
- nieuprawnione uzyskiwanie dostępu i kradzieże,
- manipulacje oprogramowaniem,
- zdalne (uprawnione) wyłączenie (remote authorized shutdown, RAS).
Opracowane przez Instytut Kolejnictwa „Wytyczne dotyczące cyberbezpieczeństwa pasażerskiego taboru kolejowego” obejmują następujące zagadnienia:
- regulacje prawne dotyczące cyberbezpieczeństwa w transporcie kolejowym,
- cyberbezpieczeństwo a interoperacyjność systemu kolei,
- wymagania w zakresie dokumentowania i weryfikowania spójności bezpieczeństwa, ochrony i cyberbezpieczeństwa dla nowego pasażerskiego taboru kolejowego,
- cyberbezpieczeństwo pasażerskiego taboru kolejowego w eksploatacji,
- modyfikowanie taboru kolejowego a cyberbezpieczeństwo.
Wytyczne zostały przyjęte przez kolejowe centrum wymiany i analizy informacji (ISAC‑Kolej). Centra ISAC są organizacjami non-profit, które gromadzą informacje na temat cyberzagrożeń, ze szczególnym uwzględnieniem infrastruktury krytycznej, a także umożliwiają wymianę informacji związanych z cyberbezpieczeństwem między różnymi podmiotami krajowymi w ramach poszczególnych branż, pomiędzy branżami i między państwami UE. Gromadzenie, analizowanie i wymienianie takich danych oraz dobrych praktyk w zakresie stosowania zabezpieczeń przed cyberzagrożeniami są konieczne ze względu na wykorzystywanie przez różne podmioty, dla potrzeb różnych branż i w różnych państwach tego samego rodzaju rozwiązań sprzętowych czy programowych na przykład cyfrowych kontrolerów, regulatorów, systemów operacyjnych, protokołów czy aplikacji.
