Vilka system och teknologier är mest utsatta?

Transportsektorn förlitar sig på en blandning av IT-system, OT-system och specialiserade styrsystem. Enligt Dragos Year in Review 2024 är transport den tredje mest utsatta sektorn för OT-relaterade cyberattacker globalt, efter energi och tillverkning.

[ORIGINAL DATA]

Trafikstyrning och signalsystem

Järnvägens signalsystem (ERTMS/ETCS i framtiden, dagens system baserade på äldre teknik), flygtrafikledningens system och sjöfartens VTS är alla kritiska styrsystem. En attack mot Trafikverkets signalsystem skulle kunna lamslå tågtrafiken i hela eller delar av Sverige. Dessa system har ofta lång livslängd och kan vara svåra att uppdatera utan driftstopp.

Sverige håller på att implementera ERTMS (European Rail Traffic Management System) som ska ersätta nuvarande signalsystem. Denna övergång skapar både möjligheter och risker. Det nya systemet kan designas med cybersäkerhet inbyggt, men övergångsfasen med parallella system skapar komplexitet.

Fleet management och telematik

Moderna fordon, fartyg och flygplan är uppkopplade. Fleet management-system som spårar position, bränsleförbrukning och förarbeteende kommunicerar via mobilnät och satellitlänkar. Dessa system kan komprometteras för att manipulera positionsdata, störa logistikplanering eller i värsta fall påverka fordonsstyrning.

Enligt Upstream Security ökade cyberattacker mot uppkopplade fordon och fleet management-system med 380 procent mellan 2020 och 2023. Majoriteten riktade sig mot backend-API:er, inte mot fordonen direkt.

Passagerarinformationssystem

Realtidsinformation för resenärer, biljettförsäljning och passagerarhanteringssystem är viktiga för driften men också attraktiva mål. DDoS-attacker mot biljettförsäljningssystem har förekommit i flera europeiska länder. Även om dessa inte hotar den fysiska säkerheten skapar de driftstörningar och ekonomiska förluster.

Hamn- och flygplatssystem

Container-terminalernas TOS (Terminal Operating Systems) styr hanteringen av gods. Maersk-attacken 2017 (NotPetya) visade hur en cyberattack kan lamslå globala logistikkedjor. Kostnaden för Maersk uppskattades till 300 miljoner dollar, enligt Maersk. Flygplatsers bagagehantering, gateplanering och säkerhetskontrollsystem är andra kritiska system.

Hur påverkar NIS2 leveranskedjan inom logistik?

NIS2:s krav på leveranskedjesäkerhet (Artikel 21.2d) har stor betydelse för logistiksektorn. Enligt World Economic Forum Global Risks Report 2024 rankas störningar i leveranskedjor som en av de fem mest sannolika globala riskerna de kommande två åren. Cybersäkerhet är en nyckelkomponent.

[PERSONAL EXPERIENCE]

Kedjeeffekter i logistiknätverk

Logistikkedjor är sammanlänkade. En attack mot en hamn påverkar rederier, speditörer, åkerier och slutkunder. NIS2 kräver att organisationer inte bara säkrar sina egna system, utan också bedömer och hanterar risker i leveranskedjan. Det innebär krav på leverantörer, avtalsklausuler och uppföljning.

För ett svenskt logistikföretag som DHL Freight, Schenker eller Green Cargo innebär det att de måste ställa cybersäkerhetskrav på sina underleverantörer, IT-leverantörer och partners. Kan den lilla åkeribyrån som kör den sista sträckan bli en ingångspunkt för en attack mot hela logistiksystemet? NIS2 kräver att frågan ställs.

Digitala plattformar och API-säkerhet

Modern logistik bygger på digitala plattformar som kopplar samman avsändare, transportörer och mottagare. API:er delar information om godsstatus, tulldokumentation och leveranstider. Varje integration är en potentiell sårbarhet. NIS2 kräver att dessa kopplingar inventeras och säkras.

<a href="/sv/cloud-security-service/" title="Cloud Security">Molnsäkerhet</a> för transportföretag

Vilka praktiska steg bör transportföretag ta?

En strukturerad förberedelse som beaktar sektorns specifika utmaningar ger bäst resultat. Enligt ENISA NIS Investments 2023 lägger europeiska transportföretag i genomsnitt 5,8 procent av sin IT-budget på cybersäkerhet, den lägsta andelen bland alla NIS2-sektorer.

Steg 1: Inventera alla system, inte bara IT

Skapa en samlad bild av IT-system, OT-system, IoT-enheter och specialsystem. Inkludera trafikstyrning, fleet management, passagerarinformationssystem och godsterminaler. Många transportföretag saknar en komplett bild av sin OT-miljö.

Steg 2: Genomför sektorsspecifik riskbedömning

En generell IT-riskbedömning räcker inte. Transportsektorn har unika risker kopplade till fysisk säkerhet (safety), geografisk spridning och realtidskritisk drift. En försening i ett logistiksystem är inte samma sak som en försening i ett kontorssystem. Konsekvensanalysen måste beakta detta.

Steg 3: Prioritera incidenthantering

Med 24-timmarsfristen för tidig rapportering behöver transportföretag rutiner som fungerar dygnet runt. Trafikstörningar kan uppstå när som helst. Säkerställ att driftcentraler har mandat och förmåga att identifiera och eskalera cybersäkerhetsincidenter, inte bara driftstörningar.

Steg 4: Adressera leveranskedjan

Identifiera kritiska leverantörer och ställ krav. Börja med de leverantörer som har tillgång till era nätverk eller hanterar känslig data. Inkludera cybersäkerhetskrav i upphandlingar och avtal.

Steg 5: Utbilda personalen

Transportpersonal, från lokförare till hamnarbetare, behöver grundläggande cybersäkerhetsmedvetenhet. Social engineering-attacker riktar sig ofta mot operativ personal som inte har IT som sin primära kompetens.

Riskbedömning och compliance

Hur samverkar NIS2 med befintliga transportregelverk?

Transportsektorn har redan sektorsspecifika cybersäkerhetskrav. Enligt EASA gäller sedan 2023 obligatoriska cybersäkerhetskrav för europeisk luftfart. NIS2 kompletterar dessa men ersätter dem inte.

Luftfart: EASA Part-IS

EASA:s nya regler (Part-IS) ställer specifika krav på informationssäkerhetshantering för flygbolag, flygplatser och flygtrafikledning. Dessa krav är i linje med NIS2 men mer detaljerade för luftfartssektorn. Organisationer som uppfyller Part-IS uppfyller sannolikt NIS2:s generella krav inom samma områden.

Sjöfart: IMO och ISPS

IMO:s resolution MSC.428(98) kräver att cyberrisker integreras i fartygs säkerhetsledningssystem (ISM Code). ISPS-koden ställer krav på hamnsäkerhet. NIS2 breddar dessa krav till att omfatta hela den digitala miljön, inte bara de aspekter som berör fartygs- och hamnsäkerhet.

Järnväg: ERA och CER

Europeiska järnvägsbyrån (ERA) arbetar med cybersäkerhetskrav för järnvägen, men regelverket är mindre moget än inom luftfart och sjöfart. NIS2 fyller en viktig lucka här. Transportföretag inom järnväg bör förvänta sig ökade krav under de kommande åren.

Vanliga frågor om NIS2 och transport

Omfattas åkerier och speditörer?

Rena åkerier omfattas inte direkt av NIS2:s transportdel. Däremot kan stora logistikföretag och speditörer som driver digitala plattformar för transportstyrning falla under "intelligenta transportsystem" eller posttjänster. Dessutom kan de beröras indirekt genom leveranskedjekraven, om deras kunder är NIS2-entiteter som ställer cybersäkerhetskrav.

Vad gäller för kommunaltrafik och SL/Västtrafik?

Regionala kollektivtrafikmyndigheter kan omfattas om de driver kritiska digitala system. De upphandlar dock oftast trafiken av operatörer (Keolis, Nobina m.fl.), och det är operatörerna som bär det direkta ansvaret för cybersäkerheten i driftsystemen. Ansvarsfördelningen måste tydliggöras i upphandlingsavtalen.

Hur hanterar vi cybersäkerhet för äldre system som inte kan uppdateras?

Äldre system (legacy) är vanliga inom transport, särskilt inom järnväg och sjöfart. NIS2 kräver riskbaserade åtgärder, inte att alla system är moderna. Kompenserande kontroller som nätverkssegmentering, övervakning och begränsad åtkomst kan användas. Dokumentera varför systemet inte kan uppdateras och vilka kompenserande åtgärder som vidtagits.

Vad kostar bristande compliance?

Sanktionsavgifter för väsentliga entiteter kan uppgå till 10 miljoner euro eller 2 procent av global omsättning (EU 2022/2555, Artikel 34). Men den verkliga kostnaden av en cyberattack överstiger ofta sanktionsavgifterna. Maersk-exemplet (300 miljoner dollar) visar att driftstörningar i transportsektorn får enorma ekonomiska konsekvenser.

Finns det branschsamarbeten vi kan ansluta till?

Ja. Transportföretag bör överväga att delta i sektorsspecifika ISAC:er (Information Sharing and Analysis Centers). EU-ISAC för transport, nationella samarbeten genom MSB och branschorganisationernas (Transportföretagen, Sveriges Hamnar) cybersäkerhetsinitiativ erbjuder forum för erfarenhetsutbyte och tidig varning.

Slutsats: Cybersäkerhet är driftsäkerhet

Med 38 procent av europeiska transportföretag drabbade av cyberattacker 2023 (ENISA, 2023) och en sektor som lägger lägst andel av IT-budgeten på cybersäkerhet bland NIS2-sektorerna finns det stort utrymme för förbättring. NIS2 tvingar fram den förändringen.

Transportföretag bör se cybersäkerhet som en del av driftsäkerheten, inte som ett separat compliance-projekt. Signalsystem, fleet management och terminalsystem är lika kritiska som spår, fordon och kranar. De operatörer som integrerar cybersäkerhet i sin ordinarie säkerhetskultur kommer att vara bäst rustade, både för NIS2-tillsyn och för verkliga hot.

Fullständig NIS2-guide

NIS2 för energisektorn

NIS2 för kommuner och regioner

Av Johan Carlsson, Senior Cloud Architect

For hands-on delivery in India, see disaster recovery for enterprise.

For hands-on delivery in India, see gcp managed for enterprise.

For hands-on delivery in India, see drift for enterprise.