Powyższe badanie obejmowało również przeprowadzenie kontrolowanych ataków na systemy oraz ocenę wpływu tych ataków na bezpieczeństwo ruchu drogowego. W konsekwencji stwierdzono, że przy użyciu odpowiedniego sprzętu oraz przy średnim zaangażowaniu organizacyjnym dowolny podmiot może przejąć kontrolę nad systemem i dopasować jego działanie do własnych potrzeb.
Opisany przypadek pozwala na zrozumienie wagi bezpieczeństwa systemów oraz sieci radiowych, telekomunikacyjnych oraz komputerowych, które służą do zarządzania transportem nie tylko lotniczym ale również kolejowym, wodnym, a przede wszystkim drogowym. W tym miejscu należy podkreślić istotę zabezpieczeń np. inteligentnych drogowych systemów transportowych (ITS), które mają zapewniać m.in. zwiększenie przepustowości sieci dróg, poprawę bezpieczeństwa ruchu drogowego oraz zmniejszenie czasu podróży (np. systemy służące do sterowania ruchem za pośrednictwem sygnalizacji świetlnej lub zarządzania transportem publicznym). Właśnie z tych powodów przyjęta w lipcu 2016 r. tzw. dyrektywa NIS nałożyła na państwa członkowskie UE obowiązek przyjęcia przepisów, które będą dotyczyć m.in. zarówno publicznych, jak i prywatnych operatorów inteligentnych drogowych systemów transportowych, przewoźników lotniczych, odpowiedzialnych za zarządzanie ruchem drogowym organów administracji drogowej, operatorów portów lotniczych, podmiotów zarządzających ruchem lotniczym zapewniających służbę kontroli ruchu lotniczego (ATC), zarządców infrastruktury kolejowej oraz operatorów portów.
W myśl nowych regulacji podmioty te – jako operatorzy tzw. usług kluczowych – mają zostać zobowiązane np. do ograniczenia możliwości wystąpienia jakichkolwiek incydentów bezpieczeństwa, a w razie gdy już do tego dojdzie – do minimalizacji ich wpływu. Ma to zostać osiągnięte przy zastosowaniu środków zarówno technologicznych, jak i czysto organizacyjnych. Co istotne, będą one również zobowiązane do niezwłocznego zgłoszenia właściwym organom lub specjalnym zespołom reagowania (tzw. CSIRT) wszystkich incydentów (np. ataków na systemy komputerowe), które będą miały istotny wpływ na ciągłość świadczonych przez nie usług. Istotność takiego incydentu z kolei ma być oceniana pod kątem liczby użytkowników, których dotyczy dane zakłócenie usługi, czasu trwania incydentu oraz jego zasięgu geograficznego.
Do polskiego porządku prawnego powyższa dyrektywa ma zostać wprowadzona w ustawie o krajowym systemie cyberbezpieczeństwa, której projekt ma przygotować Ministerstwo Cyfryzacji do kwietnia 2017 r. Jednocześnie należy pamiętać, że ww. podmioty będą podlegać opisanym wymogom w zakresie bezpieczeństwa jedynie w zakresie tych usług, które zostały uznane przez dane państwo członkowskie za kluczowe. Jeżeli zatem operator portu lotniczego lub podmiot eksploatujący infrastrukturę kolejową świadczy dodatkowo inną usługę towarzyszącą (np. dostępu do internetu w ramach hotspotu), nie będzie w tym zakresie zobowiązany do przestrzegania nowej ustawy.
Paweł Gruszecki, radca prawny, partner, szef Praktyki Nowych Technologii i Telekomunikacji w Kochański Zięba & Partners
