Atak rozpoczął się o godz. 7 rano we wtorek 3 grudnia. Początkowo MPK informowało o awarii, dopiero następnego dnia pojawiła się oficjalna informacja o tym, że przyczyną problemów jest atak hakerski.

W wyniku ataku pasażerowie nie mogli m.in. sprawdzić rozkładów jazdy na stronie MPK, nie funkcjonowała aplikacja mKKM oraz elektroniczne konto pasażera. Nie było możliwości zakupu za ich pośrednictwem biletu, nie dało się go także okazać kontrolerowi. Nie można było też śledzić lokalizacji pojazdów w aplikacjach. Część uciążliwości nie była bezpośrednio widoczna dla pasażerów, ale utrudniała pracę prowadzącym i pracownikom biurowym.

Podczas sesji rady miasta prezes MPK Rafał Świerczyński przekonywał, że według dotychczasowych ustaleń sprawcy nie osiągnęli swoich celów. – 12 grudnia zostaliśmy poinformowani przez służby zewnętrzne, że atak jest nietypowy oraz należy go uznać w znacznym stopniu za nieudany. Z uwagi na to, jaki podmiot nas zaatakował, istnieje prawdopodobieństwo kolejnych jego prób destabilizacji systemu transportowego w mieście – opisywał. – Ten atak należy uznać za nieudany w tym zakresie, w jakim był on celowany, a chodziło o zniszczenie infrastruktury. Zostały wydane określone komendy, które miały służyć zablokowaniu naszej zdolności operacyjnej. Nie zostało to dokonane, ponieważ zadziałał trzystopniowy system zabezpieczenia naszych serwerów – wyjaśniał.

Tajemnica przedsiębiorstwa

MPK od początku przekonywało, że zabezpieczenia przed taką sytuacją były prawidłowe, podobnie jak reakcja po otrzymaniu informacji o ataku. Te zapowiedzi jednak nie wszystkich uspokajały, zwłaszcza pasażerów obawiających się o to, że ich dane wyciekły z bazy i mogą zostać użyte przez przestępców.

O działania MPK przed i po ataku pytał w interpelacji radny Łukasz Gibała. Z rozbudowanej odpowiedzi – oprócz informacji podawanych już wcześniej przez MPK – można się dowiedzieć m.in., że systemy bezpieczeństwa nie wykryły próby włamania zanim doszło do naruszenia. Pojawia się też wzmianka, że 4 grudnia poinformowano również o ataku na serwery Zarządu Dróg Miasta Krakowa.

Na część pytań odpowiedź jednak nie padła, a MPK uzasadniło to albo toczącym się śledztwem albo tajemnicą przedsiębiorstwa. Przewoźnik nie odniósł się m.in. do pytań, czy wykryto luki w systemach, które mogły zostać wykorzystane przez hakerów ani nie wyjaśnił, jakie działania zostały podjęte, aby zapobiec atakom w przyszłości. Tajemnicą przedsiębiorstwa MPK zasłoniło się też w przypadku pytań o wykorzystanie kopii zapasowych i audyty bezpieczeństwa.

Sprawa w toku

Jak przekazał nam rzecznik prasowy MPK Marek Gancarczyk, choć pasażerowie mogli już po kilku dniach zapomnieć o ataku, nie wszystko zdążyło wrócić do normy. Dla przykładu, dopiero w środę 22 stycznia udało się przywrócić działanie wewnętrznego portalu dla prowadzących. Do tej pory musieli sobie radzić bez niego, teraz stopniowo kolejne osoby będą mogły się ponownie logować.

– Cały czas współpracujemy ze służbami i nadal utrzymujemy środowiska wraz z danymi dla ich potrzeb. Więc wciąż nie wszystko możemy uruchomić, ponieważ te służby nadal działają – informuje Marek Gancarczyk.

– Po takim ataku jesteśmy mądrzejsi, działania są podejmowane – ale były one podejmowane także wcześniej, przed atakiem. Na pewno wnioski zostały wyciągnięte i taki atak daje doświadczenie i wskazówki, co jeszcze zrobić – komentuje rzecznik spółki. Jak mówi, od tego czasu wdrożone zostało oprogramowanie, które zapewnia wyższy poziom bezpieczeństwa danych. Wcześniej prezes MPK sugerował podczas sesji rady miasta, że właśnie ogłoszenie przetargu na zakup tego narzędzia mógł przyspieszyć decyzję przestępców o podjęciu ataku wcześniej niż planowali.

Co z danymi?

MPK podkreśla, że nie zmieniła się informacja w najważniejszej kwestii – nie ma żadnych sygnałów o tym, że dane pasażerów zostały gdziekolwiek ujawnione. – Monitorujemy sytuację, robi to także urząd miasta i firmy, z którymi współpracujemy. I nic nie wskazuje na to, że te dane się gdziekolwiek pojawiły – mówi Marek Gancarczyk.

Podobne informacje przekazuje prokuratura, którą również zapytaliśmy o postępy w śledztwie. – Do chwili obecnej sprawcy nie wystosowali żądań zapłaty kwoty pieniężnej ani nie kierowali gróźb dotyczących ujawnienia danych. Nie ustalono również, aby miało dojść do ujawnienia danych pracowników i klientów MPK S.A. w Krakowie. Zakres ewentualnego wycieku danych klientów MPK S.A. w Krakowie, cały czas jest przedmiotem analiz, podobnie jak ustalanie możliwego wektora ataku – czytamy w odpowiedzi.