インド鉄道は、「さまざまなITアプリケーションにおける侵害に関する多数のインシデント」に見舞われたと明らかにし、その一部はCOVID-19パンデミックによる在宅勤務中のスタッフのずさんな情報セキュリティ対策のせいだとしているようだ。
サイバー犯罪を発表した同組織の文書[PDF]には、「そのほとんどはアプリケーション関連」とあるが、どのアプリケーションが影響を受けたのか、また侵入の範囲はどの程度なのかは説明されていない。
これは少々恐ろしい話だ。インド鉄道は、154万人の従業員を抱え、1日あたり1,300万人の乗客にサービスを提供し、そのうち約100万人が同社が「コンピューター予約システム」と呼ぶシステムを使って切符を予約していると述べている。同社はイントラネット、貨物運行情報システム、そしておそらく他にも多くのアプリケーションを運用していることが知られている。旧来のシステムと最新鋭の機器が複雑に絡み合っていないとしたら、インド鉄道の職員でさえ驚くだろう。
英国政府はソファの下から20万ポンドを発見し、国内の劣悪な鉄道のモバイル接続性向上に向けた研究を開始した。
続きを読む
さらに、同組織は 108,000 km の線路、6,853 の駅、そして毎日 11,000 便以上のサービスを運営しています。
インドでは、政府機関にデータセキュリティ侵害報告書の提出が義務付けられていますが、報告書は公表されていません。The Registerはインド鉄道に対し、侵害されたアプリケーションの種類と、これらの侵入によって公衆に何らかのリスクが生じたかどうかについて説明するよう求めました。具体的な回答が得られ次第、この記事を更新いたします。
インド鉄道は、これらのインシデントの一部は「従業員全般によるIT資産の不適切な取り扱い」に起因すると指摘し、「電子化が進むにつれて」セキュリティインシデントが増加していると述べています。従業員は、組織をさらなるリスクにさらさないよう、情報セキュリティ研修の受講を命じられています。®
