Pod koniec października firma Supeo – dostawca usług dla duńskiego operatora kolejowego DSB – padła pośrednio ofiarą cyberataku, w wyniku którego ruch pociągów został wstrzymany. Incydent pokazuje, jak atak na systemy zewnętrznego dostawcy usług IT może spowodować znaczne zakłócenia w infrastrukturze krytycznej.
Z doniesień Reuters wynika, że celem ataku było środowisko testowe firmy Supeo dostarczającej rozwiązania dla DSB. W wyniku ataku cyberprzestępców nastąpiła konieczność wyłączenia głównych serwerów produkcyjnych, co spowodowało zatrzymanie działania platformy usługowej dostarczającej maszynistom krytyczne informacje – m.in. o ograniczeniu prędkości i pracach remontowych wzdłuż szlaków kolejowych.
Aby zapewnić bezpieczeństwo transportu, zdecydowano w tej sytuacji o wstrzymaniu ruchu pociągów. Opinię publiczną poinformowano, że motywacją cyberprzestępców były kwestie ekonomiczne, co wskazywałoby na atak z wykorzystaniem złośliwego oprogramowania typu ransomware*.
Cyberataki na infrastrukturę kolejową nie są rzadkim zjawiskiem, jednak najczęściej atakujący obierają za cel systemy towarzyszące – informacji pasażerskiej, usługi rezerwacji biletów itp. Powyższa sytuacja jest kolejnym przykładem (po ataku na Colonial Pipeline), który dobitnie pokazuje siłę zależności między ciągłością operacyjną a nawet fizycznie odizolowanymi, wybranymi systemami IT.
Ocena i analiza ryzyka dla systemu przemysłowego OT musi uwzględniać wszystkie systemy towarzyszące (w tym IT), od których może zależeć ciągłość działania procesu, który chcemy zabezpieczyć.
*CyberTeam Tekniska pracuje nad serią publikacji „Sztuka CyberWojny” – pierwsza odsłona opisuje problematykę ransomware jako jednego z najczęstszych typów ataków, również w infrastrukturze krytycznej. Z publikacją można zapoznać się TU.