- Atak hakerski na systemy informatyczne Miejskiego Przedsiębiorstwa Komunikacyjnego S.A. ze zrozumiałych względów wzbudził duży niepokój mieszkańców. Jest on tym większy, że w dniu samego ataku, czyli 3 grudnia 2024 r. o godz. 11:28 MPK SA opublikowało komunikat o awarii informatycznej, natomiast oficjalna informacja, że przyczyną problemów jest zorganizowany atak hakerski, pojawiła się dopiero blisko 24 godziny później, 4 grudnia o godz. 9:05. Budzi to poważne obawy, że miejska spółka z podobnym opóźnieniem przekazała informację o ataku także Zarządowi Transportu Publicznego, Urzędowi Miasta Krakowa i innym jednostkom, a także że niewystarczająco szybko poinformowano właściwe służby i instytucje - pisze w interpelacji do prezydenta Krakowa radny miejski Łukasz Gibała (Kraków dla Mieszkańców).
Antoni Fryczek, Sekretarz Miasta Krakowa odpowiadając na interpelację radnego wyjaśnia, że pierwsze problemy z systemami informatycznymi zostały zauważone 3 grudnia 2024 r. około godziny 7:00. Były to problemy z dostępem do zasobów informatycznych Spółki.
Dalej tłumaczy również, że "według danych posiadanych przez Spółkę prawdopodobnie był to atak ransomware – MPK nie posiada wszystkich informacji o wektorze ataku".
Jakie kroki podjęło MPK i kiedy?
- Po zdiagnozowaniu sytuacji rozpoczęto informowanie następujących instytucji: 3 grudnia 2024 r. zdarzenie zgłoszono do Centrum Obsługi Informatycznej Urzędu Miasta Krakowa, Computer Emergency Response Team (CERT), Policji, Agencji Bezpieczeństwa Wewnętrznego, Naukowej i Akademickiej Sieci Komputerowej (NASK), Dowody zostały zabezpieczone, a Spółka wykonywała polecenia (NASK), Policji i Centrum Obsługi Informatycznej UMK w zakresie bezpieczeństwa i dostarczania materiałów dowodowych - wyjaśnia Fryczek.
Ponadto dodaje: - W dniu 4 grudnia 2024 r. nastąpiło zgłoszenie incydentu do Urzędu Ochrony Danych Osobowych. Również Zarząd Transportu Publicznego w Krakowie podjął odpowiednie działania zabezpieczające - których wymienił cały szereg.
W kolejnych krokach m.in. uruchomiono awaryjną stronę internetową z rozkładami jazdy KMK, zwołano i przeprowadzono regularne spotkania ISIRT ZTP, 14 grudnia nastąpiło dodatkowe otwarcie stacjonarnych Punktów Obsługi Pasażerów w godzinach 08:00- 13:00, a po potwierdzeniu bezpieczeństwa systemów po stronie MPK, od 10 grudnia 2024 r. rozpoczęto sukcesywne przywracanie działania systemów sprzedażowych i transportowych.
Czy dane zostały wykradzione?
- Narażone na ryzyko zostały dane składowane na serwerach Spółki, w tym dane pasażerów, pracowników, kontrahentów. Aktualnie Spółka nie posiada żadnego potwierdzenia, aby jakiekolwiek dane zostały wykradzione - wyjaśnia Sekretarz Miasta Krakowa.
Problemy z sygnalizacją świetlną
Dalej radny wskazuje również, że "w efekcie, np. serwery ZDMK, ZTP czy sieć związana z monitoringiem miejskim i systemem sterowania ruchem mogły być narażone na kolejne ataki. Systemy te zgodnie z informacjami mieszkańców miały zostać odcięte dopiero po 24h od ataku - i od tego momentu przez pewien czas, np. Wydział Miejskiego Inżyniera Ruchu miał nie mieć kontroli m.in. nad sygnalizacją świetlną".
Czy pracownicy otrzymali niepełne wynagrodzenia?
Gibała przypomina również, że problemy związane z atakiem hakerskim trwały przez blisko tydzień.
- Ucierpieć mieli na tym nie tylko pasażerowie – którzy dodatkowo obawiają się kradzieży ich danych osobowych – ale też prowadzący pojazdy, ponieważ nie działały systemy rejestracji czasu pracy, przez co mieli otrzymać niepełne wynagrodzenie - tłumaczy radny.
Informację tę prostuje Antoni Fryczek pisząc: "Wynagrodzenia zostały w pełni wypłacone pracownikom Spółki i kontrahentom". Dodatkowo zapewnia, że: "Spółka poniesie koszty nadgodzin pracowników. Aktualnie nie są znane inne koszty dodatkowe".
Czy systemy wykryły próbę włamania zanim doszło do naruszenia?
Fryczek tłumaczy też, że "systemy bezpieczeństwa nie wykryły próby włamania zanim doszło do naruszenia".
Co z lukami w zabezpieczeniach?
Łukasz Gibała pyta również, czy wykryto luki w zabezpieczeniach, które mogły zostać wykorzystane przez hakerów.
Jak wyjaśnia Fryczek: - Obecnie trwa śledztwo w tej sprawie.
Dodatkowo przedstawiciel urzędu tłumaczy: - MPK SA w Krakowie posiada procedury reagowania na incydenty bezpieczeństwa. Również Zarząd Transportu Publicznego w Krakowie posiada wdrożoną Politykę Bezpieczeństwa Informacji, w której uwzględniono procedury reagowania na incydenty bezpieczeństwa. Procedury były wdrożone przed atakiem.
Radny pytał także, czy hakerzy zgłosili jakiekolwiek żądania, np. okupu. W tym wypadu urzędnik wyjaśnia, że jest to tajemnica przedsiębiorstwa.
Czy sytuacja może się powtórzyć?
- Podjęto dodatkowe działania zabezpieczające systemy. Informacje szczegółowe tego typu stanowią tajemnicę przedsiębiorstwa - wyjaśnia Fryczek i dodaje, że Spółka zleciła również dodatkowe analizy firmie zewnętrznej.
Sekretarz Miasta napisał również, że "odpowiedzi na pytania zawarte w interpelacji były przedmiotem wystąpienia Prezesa Miejskiego Przedsiębiorstwa Komunikacyjne SA w Krakowie podczas sesji Rady Miasta Krakowa 18 grudnia 2024 r.".
