Kybernetické hrozby sú možné. Nemôžeme ich len tak obísť, uvádza podpredseda predstavenstva ZSSK CARGO, Hambálek

S Matejom Hambálkom sme sa rozprávali o horúcej téme kybernetickej bezpečnosti na železnici a o tom, aké kroky teraz v tejto oblasti podniká ZSSK CARGO. To všetko za situácie, kedy prebieha medzirezortné pripomienkové konanie k návrhu novely zákona o kybernetickej bezpečnosti, ktorý má plánovanú účinnosť od 1. januára 2025.

Od 15. novembra 2023 ste podpredsedom predstavenstva ZSSK CARGO, ale doprave ste sa venovali v priebehu celej svojej kariéry, či už železničnej alebo leteckej. Máte za sebou tiež pôsobenie na ministerstve dopravy. V ZSSK CARGO ste pôsobili už v rokoch 2012 až 2016. Ako vnímate, že sa odvtedy železnice a spoločnosť ZSSK CARGO zmenili? 

Zmenilo sa toho veľa. Nech je železničné odvetvie akokoľvek konzervatívne, aj jeho sa dotkla digitalizácia. Či už ide o inštaláciu GPS lokátorov na vagóny alebo o vývoj systémov a aplikácii, ktoré spravujú chod našej spoločnosti. To, čo sa však jednoznačne zmenilo, je najmä riziko kybernetických hrozieb. To je téma, ktorú som si teraz vzal pod svoje krídla.

Na toto môžeme krásne nadviazať. V roku 2022 vyšla smernica o opatreniach na zaistenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Európskej Únii (tzv. NIS2), ktorá by sa mala dotknúť aj vašej spoločnosti, ako najväčšieho slovenského dopravcu. Ako sa pripravujete na prípadné nové povinnosti s tým súvisiace?

Nie všetko, čo k nám príde z Bruselu, vnímame ako dobré. Avšak, kybernetické hrozby musíme brať vážne. My máme implementovanú predošlú právnu úpravu smernice NIS1, a momentálne vykonávame detailnú internú analýzu možných dopadov. Pracujeme na implementácii ďalších opatrení. Ja sám som oslovil všetky naše dotknuté útvary, vrátane IT a manažéra kybernetickej bezpečnosti, zástupcu obchodu a prevádzky či personálneho oddelenia. Moju koordináciu z pozície podpredsedu predstavenstva považujem za nenahraditeľnú pri riešení tejto otázky, ktorá sa týka celej spoločnosti. O spoluprácu som požiadal aj Národný bezpečnostný úrad. 

Keď hovoríme o hrozbách, je vôbec možné, aby niekto dokázal systémy národného prepravcu kyberneticky napadnúť? Ako vážne vnímate prípadnú hrozbu? 

V železničnej spoločnosti CARGO Slovakia vnímame kybernetické hrozby ako potencionálne možné, a preto ich nemôžeme len tak obísť. Prechod na digitálne riešenie síce priniesol množstvo prevádzkových benefitov a zefektívnení, ale taktiež aj riziká. A my sa nemôžeme tváriť, že Slovenska sa to netýka, že sme len malá krajina. Aj železničný sektor menších krajín Európskej únie čelil v minulosti útokom. V podstate ani nemusí dôjsť bezprostredne k ohrozeniu bezpečnostných alebo riadiacich systémov, no aj tak môže dôjsť k veľkým škodám. 

Môžete uviesť nejaké príklady podobných útokov z minulosti? 

Ako príklad vnímam kybernetický útok na Ukrajine v roku 2017, ktorý narušil systémy cestovných poriadkov, znemožnil železničnú prevádzku a zapríčinil zmätok v nákladnej, ale aj v osobnej preprave. Ďalším varovným príkladom je narušenie riadenia vlakov v Poľsku, kedy útok spôsobil poruchy signalizácie a meškanie vlakov. Postačí však aj napadnutie emailov. Vezmite si útok na České dráhy v roku 2020, kedy aj napriek tomu, že útok nespôsobil priame ohrozenie dopravy, boli dopady evidentné.

Prečo považujete napadnutie emailov za problém? 

Musíme si uvedomiť, že čím ďalej, tým viacej vecí riešime online, či už prostredníctvom emailov alebo našich systémov. Musím zdôrazniť, že z pohľadu bezpečnosti oddeľujeme tieto dva komunikačné kanály na emaily a informačné systémy, v tomto prípade ide najmä o workflow. Email považujeme za operatívny komunikačný nástroj, ktorý je však otvorený a často zneužívaný podvodnými správami, s ktorými sme sa už stretli všetci aj v súkromnom živote. Poznáme prípad jednej spoločnosti z minulosti v segmente dopravy, kde bol zaslaný email z  takmer identickej adresy, akú mal generálny riaditeľ s požiadavkou na okamžitú úhradu faktúry na zmenené číslo účtu dodávateľa. V tomto prípade nedošlo k reálnej úhrade faktúry, ale je to príklad, ako jednoducho sa dá zneužiť email. Neustále školenie interných zamestnancov voči stále sofistikovanejším útokom z externého prostredia je dôležité a nevyhnutné. Je potrebné uvedomiť si, že dnes už nepracujeme len v papierovej podobe, ale skôr hybridne, v zmiešanej podobe. A pokiaľ máme dáta len v elektronickej podobe, môžeme o ne pri kybernetickom útoku prísť a nemusíme byť schopní ich obnoviť, prípadne, len s veľkými obtiažami a nákladmi. Mojim zámerom je, aby sme si všetko nastavili tak robustne, že akékoľvek dopady hrozby spôsobia len minimálne škody. 

Ako by mali byť nastavené vaše systémy, aby odolali kybernetickým útokom? Niektorí odborníci hovoria, že je prakticky nemožné mať všetko zabezpečené tak, aby k útoku nedošlo. 

Áno, máte pravdu. Nikdy nejde nastaviť systém tak, aby bol stopercentný. Ako sa však vyvíjajú systémy, vyvíja sa aj povaha hrozieb. Je však stále nevyhnutné hovoriť o silnej stratégii kybernetickej obrany, ktorá neznamená len zabezpečenie samotných ICT systémov, ale ide aj o organizačné opatrenia a preškoľovanie zamestnancov, na čo sa často zabúda. Pričom ide o jeden z najdôležitejších prvkov, jedným z najväčších kybernetických rizík je totiž interný zamestnanec, ktorý môže vedome, ale častejšie nevedome, spôsobiť bezpečnostný incident. 

Ako budete s vašimi kolegami systém kyberbezpečnosti nastavovať? 

Z môjho pohľadu je kľúčové vedieť, čo musíme ochrániť, kde máme slabé miesta, kde máme uložené údaje, ako s nimi pracujeme, ako zabezpečiť bezpečnosť a ochranu údajov a informácií, a v neposlednom rade - mať zavedené také procesy, ktoré zabezpečia, že po prípadnom útoku dokážeme rýchlo obnoviť bežnú prevádzku našej infraštruktúry s minimálnymi škodami a stratou dát. Je to problematika, ktorá sa týka celej spoločnosti, preto je vhodný globálny pohľad, ktorý si vyžaduje proaktívnu a viacúrovňovú stratégiu kybernetickej bezpečnosti. Ako som už spomenul, v súčasnosti máme implementovanú smernicu NIS1 a vykonávame opakované audity kybernetickej bezpečnosti prostredníctvom certifikovaných audítorov. To je tiež ďalší dôležitý nástroj, ktorý pri nastavovaní využívame, a ktorý zisťuje potenciálne hrozby. 

Transpozičná lehota smernice NIS2 je 17. október 2024. Slovenský Národný bezpečnostný úrad, ako ústredný orgán štátnej správy zodpovedný za kybernetickú bezpečnosť, zverejnil koncom mája 2024 návrh novely zákona o kybernetickej bezpečnosti na medzirezortné pripomienkovanie. Ako vnímate prípadný návrh novely?

Návrh novely zákona o kybernetickej bezpečnosti už študujeme, ale keďže zvažujeme predloženie pripomienok, nebudem v tejto chvíli komentovať naše stanovisko k zákonu. Musím však povedať, že slovenský návrh považujem za logickejší a menej komplikovaný, než český návrh, ktorého prípravu sme taktiež sledovali.

 

Zdroj: Redakce RAILTARGET