W ostatnich dniach Miejskie Przedsiębiorstwo Komunikacyjne w Krakowie (MPK Kraków) padło ofiarą zaawansowanego ataku hakerskiego, który został przypisany międzynarodowej grupie cyberprzestępczej działającej na zlecenie. Atak rozpoczął się we wtorek rano (3 grudnia 2024 roku) i spowodował poważne zakłócenia w funkcjonowaniu systemów informatycznych MPK, w tym platform sprzedaży biletów, strony internetowej oraz innych powiązanych usług. Pomimo trudności operacyjnych, usługi przewozowe były realizowane bez większych zakłóceń dzięki procedurom awaryjnym.
Konsekwencje i działania w kontekście RODO
Atak wywołał obawy dotyczące możliwego naruszenia ochrony danych osobowych pracowników oraz pasażerów. Choć do tej pory brak potwierdzenia, że doszło do kradzieży danych, MPK zgłosiło incydent do Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zgodnie z RODO (art. 33), administratorzy danych osobowych są zobowiązani do zgłaszania naruszeń w ciągu 72 godzin od ich wykrycia, jeśli istnieje ryzyko naruszenia praw lub wolności osób fizycznych. MPK zapewniło również, że w przypadku stwierdzenia naruszenia poufności danych poszkodowani zostaną poinformowani o sytuacji.
Atak w kontekście dyrektywy NIS2
W świetle dyrektywy NIS2, która wchodzi w życie w 2024 roku i rozszerza zakres ochrony kluczowych usług infrastrukturalnych, atak ten podkreśla konieczność wdrożenia zaawansowanych systemów zabezpieczeń cybernetycznych w przedsiębiorstwach infrastrukturalnych, takich jak MPK. Dyrektywa nakłada na firmy obowiązek oceny ryzyka i wprowadzenia procedur reagowania na incydenty. Współpraca MPK z wyspecjalizowanymi firmami IT i służbami państwowymi może być uznana za przykład działania zgodnego z założeniami NIS2, jednak incydent ujawnia potrzebę jeszcze lepszej koordynacji i przygotowania na wypadek ataków tego rodzaju.
Wnioski
Atak na MPK Kraków ukazuje zagrożenia wynikające z rosnącej liczby cyberataków na przedsiębiorstwa publiczne. Konieczność zgodności z przepisami RODO i dyrektywą NIS2 stawia przed zarządcami infrastruktury krytycznej obowiązek nie tylko ochrony danych, ale również zapewnienia ciągłości działania systemów kluczowych dla życia publicznego. Wdrożenie dodatkowych środków zabezpieczeń i zwiększenie świadomości użytkowników, w tym informowanie o potencjalnych zagrożeniach, stanowi nieodzowny element odpowiedzi na tego typu incydenty.