W przypadku sektora kolejowego ENISA zidentyfikowała zagrożenia od oprogramowania typu ransomware (45 proc.) po zagrożenia związane z danymi (25 proc.), których celem są przede wszystkim systemy informatyczne, takie jak usługi dla pasażerów, systemy biletowe i aplikacje mobilne, powodujące zakłócenia w świadczeniu usług. Grupy haktywistów coraz częściej przeprowadzają ataki DDoS na przedsiębiorstwa kolejowe, w dużej mierze w wyniku inwazji Rosji na Ukrainę.
Większość obserwowanych ataków była wymierzona w kolejowe systemy informatyczne (obsługa pasażerów, systemy biletowe, aplikacje mobilne, tablice informacyjne itp.), powodując zakłócenia wynikające z niedostępności tych usług. Przykładem mogą być ataki ransomware na Skånetrafiken (sierpień 2021 r.) i Ferrovie dello Stato Italiane (marzec 2022 r.), w wyniku których klienci nie mogli kupić biletów po zainfekowaniu systemów IT. Jedyne przypadki, w których ucierpiały systemy i sieci OT, to albo dotknięcie całych sieci, albo niedostępność systemów IT o znaczeniu krytycznym.
Godne uwagi kradzieże danych obejmują przypadki OmniTRAX, MTA, Merseyrail, Norfolk Southern Railroads i Lokaltog A/S, gdzie skradziono dane osobowe i medyczne. Przypadek OmniTRAX jest pierwszym publicznie znanym przypadkiem ataku podwójnego wymuszenia ransomware na amerykańskiego operatora kolei towarowych.
W innym przypadku duński operator kolejowy DSB doświadczył zakłóceń w świadczeniu usług (październik 2022 r.) z powodu ataku na jednego z jego dostawców usług ICT w następstwie domniemanego ataku DDoS. Według doniesień incydent wpłynął na dostępność kluczowego systemu informatycznego o kluczowym znaczeniu dla bezpieczeństwa, zakłócając działalność DSB na kilka godzin tego dnia.
W ciekawym przypadku haktywiści przeprowadzili atak ransomware na państwową spółkę kolejową Białorusi, próbując zakłócić ruchy rosyjskich wojsk (styczeń 2022). Aby to osiągnąć, grupa wykorzystała zmodyfikowane oprogramowanie ransomware do doprowadzenia do upadku systemu kolejowego, szyfrując serwery, bazy danych i stacje robocze należące do białoruskiej służby kolejowej.
Ataki DDoS rosną w 2022 r., stanowiąc jedną piątą (20%) ataków na sektor kolejowy. Wynika to przede wszystkim ze zwiększonej aktywności hacktivistów po niesprowokowanej inwazji Rosji na Ukrainę. Elementy hacktivistyczne o sentymentach prorosyjskich/anty-NATO przeprowadziły ataki DDoS na firmy kolejowe. Przykłady obejmują prorosyjskie grupy hakerów przyznające się do ataków na operatora kolejowego CFR Calatori (kwiecień 2022 r.), Koleje Litewskie (czerwiec 2022 r.), Łotewskie Koleje Pasażerskie SJSC (czerwiec 2022 r.) i Koleje Estońskie (sierpień 2022 r.).
Jeśli chodzi o podatności (15%), wyróżniają się dwa przypadki. W grudniu 2021 r. kanadyjska agencja transportowa Metrolinx tymczasowo wyłączyła swoją stronę internetową w ramach środków ostrożności po otrzymaniu informacji od rządu federalnego o cybernetycznej luce. W styczniu 2022 r. anonimowy haker zgłosił lukę mającą wpływ na szwajcarski krajowy system kolejowy, potencjalnie umożliwiającą dostęp do danych osobowych klientów, ENISA podsumowuje swoją część niniejszego raportu skoncentrowaną na transporcie kolejowym.
