Postępująca cyfryzacja kolei sprawia, że równie istotna co rozwój systemów staje się budowa ich cyberodporności. Ten aspekt jest uwzględniany już na etapie projektowania nowych inwestycji kolejowych. Kolejnym wyzwaniem jest dostosowywanie planowanych inwestycji do potrzeb mobilności wojskowej w sytuacjach kryzysowych.
– Głównym wyzwaniem z obszaru cyberbezpieczeństwa w branży kolejowej jest rozproszenie geograficzne infrastruktury cyfrowej, którą zarządza PKP Polskie Linie Kolejowe. Jest to również coraz większa integracja systemów informacyjnych IT z technologiami operacyjnymi OT. Mówię o systemach automatyki przemysłowej i sterowania, czyli coś, co wpływa na bezpieczeństwo ruchu i pasażerów – mówi agencji Newseria Grzegorz Kuta, dyrektor Biura Cyberbezpieczeństwa w PKP Polskich Liniach Kolejowych.
Jak wynika ze „Sprawozdania Pełnomocnika Rządu do Spraw Cyberbezpieczeństwa za 2025 rok”, cyfryzacja procesów państwowych i gospodarczych, w połączeniu z kluczową pozycją geopolityczną Polski, w tym trwającą wojną w Ukrainie i działaniami hybrydowymi obcych służb, sprawiły, że krajowa infrastruktura krytyczna znajdowała się pod stałą presją zaawansowanych cyberataków.
Dane Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) z 2025 roku wskazują, że sektor transportowy był drugim najczęściej atakowanym przez hakerów w Unii Europejskiej (odpowiadał za 7,5 proc. cyberataków). Na szczycie zestawienia znalazła się administracja publiczna (38,2 proc.), a na trzeciej pozycji infrastruktura i usługi cyfrowe (4,8 proc.).
– Kolej się cyfryzuje, więc siłą rzeczy ryzyka i wyzwania związane z zapewnieniem cyberodporności są dużo większe niż jeszcze kilka lat temu – podkreśla Grzegorz Kuta.
Dodaje, że w PKP Polskich Liniach Kolejowych wraz ze zmianą wymogów z zakresu cyberbezpieczeństwa wprowadzono obowiązek uwzględniania tego obszaru już na etapie dokumentacji przedprojektowej i projektowej planowanych inwestycji, np. budowy nowych linii kolejowych. Dotyczy to wszystkich inwestycji, gdzie pojawia się komponent cyfrowy.
– Na etapie dokumentacji projektowej chodzi o to, żeby była przeprowadzona analiza ryzyka, co jest związane z tym, że dany element może podlegać zakłóceniom cybernetycznym, i żeby był wprowadzony plan postępowania z ryzykiem, czyli środek mitygujący go, żeby już na etapie budowy, a później eksploatacji można było ten element monitorować i zapobiegać potencjalnym cyberatakom i zagrożeniem z tym związanym – wyjaśnia dyrektor Biura Cyberbezpieczeństwa w PKP PLK.
– Projektujemy linie kolejowe i jesteśmy na etapie przygotowania dokumentacji projektowej, więc zapewnienie cyberbezpieczeństwa dla tej infrastruktury jest dla nas elementem kluczowym. Zaprojektowanie całej infrastruktury urządzeń kluczowych i urządzeń sieciowych w taki sposób, żeby potem, w drugim kroku móc zapewnić im odpowiednią cyberodporność, to moment, kiedy projektanci się na tym bardzo koncentrują – mówi Włodzimierz Sosnowski, wiceprezes WASKO, prezes FONON.
Jak podkreśla, rynek wykonawców stale podnosi swoje kompetencje w zakresie budowania cyberzabezpieczeń.
– Wyzwaniem jest to, że problemy w tym obszarze zmieniają się z dnia na dzień, a proces projektowy jest długoterminowy, w związku z czym bardzo trudno jest dzisiaj na etapie projektowym nadążać za zmianami, które wynikają z wyzwań dotyczących cyberbezpieczeństwa – podkreśla Włodzimierz Sosnowski.
W budowę cyberodporności infrastruktury zaangażowanych jest wiele stron. W 2023 roku Polskie Koleje Państwowe zawarły porozumienie z Ministerstwem Cyfryzacji oraz spółkami PKP PLK i PKP Informatyka, którego celem jest współpraca spółek kolejowych z administracją państwową w zakresie zwiększenia poziomu bezpieczeństwa polskiej cyberprzestrzeni. Dzięki nawiązanej współpracy jej uczestnicy mogą konsultować proponowane lub przyjęte przez sygnatariuszy rozwiązania techniczne i technologiczne, wykorzystywane w zakresie zapewnienia bezpieczeństwa danych, systemów teleinformatycznych oraz informacji w obszarze cyfrowym.
Powstaje także sektorowy zespół reagowania na incydenty cyberbezpieczeństwa – CSIRT Infrastruktura, czyli wyspecjalizowana jednostka, która ma wzmocnić ochronę przed cyberatakami i skrócić czas reakcji na incydenty cyfrowe w obszarze transportu i zaopatrzenia w wodę.
Kwestia cyberodporności nabiera dodatkowego znaczenia w kontekście rozwoju infrastruktury dual-use, która opiera się na przygotowaniu infrastruktury cywilnej do wykorzystania do celów obronnych i na potrzeby wojska w sytuacjach kryzysowych.
– Dostosowanie infrastruktury cywilnej do zadań obronnych jest trudne ze względu na to, że zarówno infrastruktura cywilna, jak i obronna rządzą się innymi wymaganiami. Muszą służyć trochę innym celom, więc nie jest to trywialna sytuacja – mówi wiceprezes WASKO, prezes FONON.
– Sfera militarna, przepisy wojskowe i natowskie mają swoje wymagania, które czasami mają klauzule niejawności, więc chcąc na etapie projektowania uwzględnić potrzeby sił zbrojnych, czy to w zakresie infrastruktury technicznej, odporności przewozów, transportów wojskowych na budowanej infrastrukturze, musielibyśmy na tym etapie je otrzymać, aby uwzględnić je w procesie eksploatacji – wskazuje dyrektor Biura Cyberbezpieczeństwa w PKP PLK.
W poniedziałek 15 czerwca zaprezentowano nowy plan dla polskiej kolei na kolejne dekady, czyli założenia Zintegrowanej Sieci Kolejowej, w których uwzględniono wątek obronności państwa i przystosowania kolei do potrzeb mobilności wojskowej. Jak poinformowało Ministerstwo Infrastruktury, magistrale tworzące układ ZSK zaplanowano jako infrastrukturę podwójnego zastosowania. W dokumencie wskazano, że kluczowe znaczenie mają tu takie elementy jak: zapewnienie parametrów umożliwiających przejazd transportów wojskowych, tworzenie alternatywnych tras objazdowych, pozwalających utrzymać ruch nawet w przypadku uszkodzenia jednej z linii, zapewnienie infrastruktury umożliwiającej szybki załadunek i przeładunek sprzętu wojskowego i zaopatrzenia czy odporność infrastruktury na akty sabotażu oraz możliwość jej szybkiej naprawy. Dzięki uwzględnieniu tych kwestii ZSK ma zwiększyć mobilność wojskową, wzmocnić odporność państwa na zagrożenia i podnieść poziom bezpieczeństwa.
