Największą obawą w tym momencie jest możliwość utraty danych osobowych pasażerów, którzy musieli je podać przy tworzeniu Krakowskiej Karty Miejskiej. To może być PESEL, numer telefonu, adres czy imię i nazwisko. Na razie władze krakowskiego MPK nie są w stanie potwierdzić, czy do takiego wycieku doszło. 

Wszystkie techniczne elementy zostały przekazane do wyspecjalizowanych firm oraz instytucji rządowych w celu określenia, ile danych zostało ewentualnie pobranych z naszych serwerów i jakiego były charakteru. Jeżeli zostanie to stwierdzone, natychmiast poinformujemy wszystkich zainteresowanych, że mogło dojść do naruszenia

- mówi Rafał Świerczyński, prezes zarządu krakowskiego MPK.

Awaria informatyczna systemu sprzedaży biletów komunikacji miejskiej w Krakowie Awaria informatyczna systemu sprzedaży biletów komunikacji miejskiej w Krakowie

Prezes Świerczyński zaleca pasażerom zastrzeżenie numerów PESEL. To pomoże uniknąć wykorzystania danych przez hakerów.

Na szczęście spółce udało się odzyskać kopie zapasowe, dzięki którym łatwiej będzie przywrócić systemy do działania. Cała sytuacja każe się zastanowić, czy zabezpieczenia systemów były odpowiednio mocne. Do podobnego ataku doszło w lutym ubiegłego roku w Katowicach. Wtedy zaatakowany został system Śląskiej Karty Usług Publicznych. 

To, co się wydarzyło niecałe dwa lata temu na Śląsku, bardzo przypomina obecny atak. Tam zostały wykorzystane narzędzia tzw. ransomware, czyli włamania i szyfrowania zawartości. One pierwotne były wykorzystywane do wyłudzania odszkodowań od poszkodowanych. Dziś częściej używa się ich tylko po to, żeby zrobić jakąś szkodę, unicestwić system, czy zablokować go na jakiś czas. Ważne jest, żeby mieć odpowiednie kopie zapasowe

- komentuje Jerzy Domżał, dyrektor Instytutu Telekomunikacji Akademii Górniczo-Hutniczej w Krakowie.

Nietypowy atak został przeprowadzony w marcu tego roku we Wrocławiu przez hakera z Kostaryki. Włamał się on do sterownika pętli tramwajowej, bo... odgadł hasło za pierwszym razem. Haker dokładnie opisał swoje działania na blogu, dołączając również zrzuty ekranu. Po nagłośnieniu sytuacji wrocławskie MPK zmieniło hasła i podejście do cyberbezpieczeństwa. Szczęście w nieszczęściu krakowskiego przewoźnika polega na tym, że w żaden sposób nie zostało zakłócone kursowanie autobusów i tramwajów.

Ten atak pod tym względem okazał się totalnie nieskuteczny. Wyjeżdżamy, przynosi nam to więcej pracy operacyjnej, dzwonienia, ale zawsze szykowaliśmy swoją infrastrukturę krytyczną na działanie de facto całkowitej utraty kontroli prowadzących czy kontaktu z nimi

- dodaje Rafał Świerczyński.
Okoliczności ataku hakerskiego na krakowskie MPK bada policja, Agencja Bezpieczeństwa Wewnętrznego czy zewnętrzne firmy informatyczne. Z kolei do Prezesa Urzędu Ochrony Danych Osobowych trafiło zawiadomienie o możliwości kradzieży danych osobowych pracowników MPK oraz pasażerów. Systemy powinny wrócić do sprawności w ciągu kilku dni. 

Ważne: lepiej zastrzec PESEL

„Nie ma obecnie żadnego potwierdzenia, że do takiej kradzieży doszło. Jednak zdecydowaliśmy, że o takim ryzyku powiadomimy wszystkie zainteresowane osoby. W przypadku stwierdzenia naruszenia poufności danych będziemy informować odrębnym komunikatem osoby, których potencjalnie może to dotyczyć. Niezależnie od powyższych działań prosimy wszystkich naszych klientów, współpracowników i pracowników, którzy posiadają dane w naszym systemie o zwrócenie szczególnej uwagi na dziwne i nietypowe maile, telefony, próby kontaktu. Zalecamy również zastrzeżenie numeru PESEL” – pisze przewoźnik w mediach społecznościowych.

Według MPK skala ataku hakerskiego wskazuje, że głównym celem był paraliż operacyjny krakowskiej komunikacji miejskiej.

„Pragniemy zapewnić, że MPK wykorzystało opracowane na takie sytuacje procedury i utrzymuje niezakłócone działanie zajezdni oraz stacji obsług. Zapewniamy, że MPK cały czas realizuje usługę przewozową w pełnym zakresie. Jednocześnie trwają prace nad etapowym uruchamianiem systemów informatycznych, z uwzględnieniem najwyższego poziomu bezpieczeństwa. Spółka w tym zakresie współpracuje ze specjalistycznymi firmami, naszymi dostawcami usług informatycznych oraz jednostkami Urzędu Miasta Krakowa. Chcemy także bardzo podziękować za wysiłek wszystkim naszym pracownikom oraz ajentom, którzy pomimo znacznych utrudnień cały czas realizują swoje obowiązki, aby utrzymać sprawne funkcjonowanie krakowskiej komunikacji miejskiej. Pasażerów prosimy o wyrozumiałość i cierpliwość. Bardzo przepraszamy za wszelkie niedogodności w obsłudze zakupu biletów” – uspokaja MPK.

Przewoźnik przypomina, że bilety okresowe można kupić w aplikacji mobilnej iMKA oraz w automatach zamontowanych w pojazdach i w automatach biletowych KKM – w tych urządzaniach można płacić kartą płatniczą oraz gotówką. W przypadku chęci zakupu biletów do kasowania można to zrobić także w aplikacjach mobilnych (mPay, iMKA, moBiLET, SkyCash, jakdojade lub zbiletem.pl (bilety wspólne 70-minutowe w aplikacjach: iMKA oraz mPay). Kontrolerzy biletowi podczas kontroli w tramwajach i autobusach respektują wszelkie potwierdzenia płatności, w tym mailowe.

Czynna jest też infolinia – 12 19 150. Uwagi można także przekazywać na portalach społecznościowych na Facebooku i portalu X.

Co w przypadku kontroli biletów?

Kontrolerzy biletowi respektują wszelkie potwierdzenia płatności, w tym mailowe. Obecnie jedyną możliwą i najszybszą formą kontaktu z MPK jest infolinia – 12 19 150. Swoje uwagi pasażerowie mogą także przekazywać na portalach społecznościowych MPK.