Từ năm 2020 đến năm 2024, hệ thống thông tin của Cơ quan An ninh Quốc gia (Anssi) đã xác định được 123 sự cố an ninh liên quan đến giao thông đô thị, bao gồm 32 sự cố được xác nhận là tấn công mạng thực sự. Phần còn lại tương ứng với các báo cáo: chiến dịch lừa đảo, tiết lộ thông tin đăng nhập hoặc thực hành bảo mật kém. Xe buýt, xe điện, tàu điện ngầm, dịch vụ thuê xe tư nhân hoặc taxi: không có phương tiện giao thông nào được miễn trừ.
Người dùng cũng không được tha. Cơ sở dữ liệu được quản lý bởi nhà điều hành – thường chứa nhiều thông tin cá nhân và thông tin ngân hàng – thường xuyên là mục tiêu. Ví dụ, vào năm 2023, Île-de-France Mobilités đã báo cáo rằng 4.000 địa chỉ email và mật khẩu đã bị đánh cắp. Dữ liệu này được bán lại hoặc sử dụng cho các cuộc tấn công khác, đặc biệt là thông qua "nhồi nhét thông tin xác thực".
Báo cáo nêu bật mối liên hệ chặt chẽ giữa các bên vận tải khác nhau: các nhà khai thác như Keolis hoặc Transdev, chính quyền địa phương, nhà cung cấp dịch vụ kỹ thuật, v.v. Sự phức tạp này thúc đẩy sự lây lan của các cuộc tấn công. Bản thân thiết bị, chẳng hạn như hệ thống tín hiệu hoặc thiết bị đầu cuối bán vé, thường cũ và dễ bị tấn công, đôi khi được bảo vệ kém hoặc kết nối Internet mà không có đủ phân vùng. "Một số mạng OT được đặc trưng bởi tính ngang bằng và thiếu sự phân chia ngăn cách", cơ quan này cảnh báo.
Tự động hóa ngày càng tăng - với các tuyến tàu điện ngầm do CBTC điều khiển hoặc các hệ thống giao thông đường bộ thông minh - làm tăng thêm các bề mặt tấn công. Việc sử dụng rộng rãi IoT (camera, cảm biến, bảng hiển thị) càng làm gia tăng lỗ hổng này.
Anssi lo lắng về viễn cảnh của "các thành phố thông minh", nơi các mạng lưới giao thông được tích hợp vào các hệ thống đô thị rộng hơn (nước, năng lượng, quản lý giao thông). Bà lấy ví dụ về cuộc tấn công năm 2023 vào cơ quan giao thông tại thành phố Olsztyn, Ba Lan, làm tê liệt việc bán vé và gián đoạn giao thông đường bộ.
Bên cạnh động cơ tài chính, một số cuộc tấn công còn có mục đích chính trị hơn. Vào năm 2024, Thế vận hội Olympic Paris đã được đánh dấu bằng sự gia tăng các cuộc tấn công mạng, đáng chú ý là các cuộc tấn công DDoS được cho là do các nhóm tin tặc ủng hộ Nga thực hiện. Các thực thể như RATP, Transilien và các công ty taxi đã bị nhắm mục tiêu trong thời gian ngắn.
Anssi cũng không loại trừ hoạt động gián điệp công nghiệp hoặc chiến lược. Một số trường hợp đã được xác định ở tầm quốc tế, chẳng hạn như vụ tấn công vào MTA của New York năm 2021, khi tin tặc có liên quan đến Trung Quốc đã khai thác một lỗ hổng nghiêm trọng. Tại Pháp, có rất ít cuộc tấn công kiểu này được xác nhận, nhưng cơ quan này vẫn thận trọng: bản chất của các hoạt động này rất khó phát hiện.
Báo cáo kết luận bằng cách kêu gọi các nhà khai thác tăng cường các biện pháp bảo mật, đặc biệt là thông qua phân vùng hệ thống, kiểm tra thường xuyên và quản lý quyền truy cập tốt hơn. Bởi vì khi giao thông trở nên kết nối hơn, mối đe dọa cũng trở nên di động hơn.
Các cuộc tấn công liên tiếp, nhiều động cơ
Theo cơ quan này, hơn một nửa các vấn đề đã xác định bao gồm các cuộc tấn công DDoS, vi phạm dữ liệu hoặc trộm cắp danh tính. Báo cáo lưu ý rằng "dịch vụ vận tải, do tính chất quan trọng của mình, không chịu được sự gián đoạn", khiến chúng trở thành mục tiêu lý tưởng cho phần mềm tống tiền. Những cuộc tấn công này nhằm mục đích kiếm lợi nhuận bằng cách gây sức ép buộc các công ty phải trả tiền để khôi phục dịch vụ của họ. Anssi đặc biệt đề cập đến bốn trường hợp bị tấn công bằng phần mềm tống tiền ở Pháp trong khoảng thời gian từ năm 2020 đến năm 2024, mặc dù không gây ra tác động lớn nhưng vẫn cho thấy lỗ hổng của ngành này.Người dùng cũng không được tha. Cơ sở dữ liệu được quản lý bởi nhà điều hành – thường chứa nhiều thông tin cá nhân và thông tin ngân hàng – thường xuyên là mục tiêu. Ví dụ, vào năm 2023, Île-de-France Mobilités đã báo cáo rằng 4.000 địa chỉ email và mật khẩu đã bị đánh cắp. Dữ liệu này được bán lại hoặc sử dụng cho các cuộc tấn công khác, đặc biệt là thông qua "nhồi nhét thông tin xác thực".
Báo cáo nêu bật mối liên hệ chặt chẽ giữa các bên vận tải khác nhau: các nhà khai thác như Keolis hoặc Transdev, chính quyền địa phương, nhà cung cấp dịch vụ kỹ thuật, v.v. Sự phức tạp này thúc đẩy sự lây lan của các cuộc tấn công. Bản thân thiết bị, chẳng hạn như hệ thống tín hiệu hoặc thiết bị đầu cuối bán vé, thường cũ và dễ bị tấn công, đôi khi được bảo vệ kém hoặc kết nối Internet mà không có đủ phân vùng. "Một số mạng OT được đặc trưng bởi tính ngang bằng và thiếu sự phân chia ngăn cách", cơ quan này cảnh báo.
Tự động hóa ngày càng tăng - với các tuyến tàu điện ngầm do CBTC điều khiển hoặc các hệ thống giao thông đường bộ thông minh - làm tăng thêm các bề mặt tấn công. Việc sử dụng rộng rãi IoT (camera, cảm biến, bảng hiển thị) càng làm gia tăng lỗ hổng này.
Anssi lo lắng về viễn cảnh của "các thành phố thông minh", nơi các mạng lưới giao thông được tích hợp vào các hệ thống đô thị rộng hơn (nước, năng lượng, quản lý giao thông). Bà lấy ví dụ về cuộc tấn công năm 2023 vào cơ quan giao thông tại thành phố Olsztyn, Ba Lan, làm tê liệt việc bán vé và gián đoạn giao thông đường bộ.
Bên cạnh động cơ tài chính, một số cuộc tấn công còn có mục đích chính trị hơn. Vào năm 2024, Thế vận hội Olympic Paris đã được đánh dấu bằng sự gia tăng các cuộc tấn công mạng, đáng chú ý là các cuộc tấn công DDoS được cho là do các nhóm tin tặc ủng hộ Nga thực hiện. Các thực thể như RATP, Transilien và các công ty taxi đã bị nhắm mục tiêu trong thời gian ngắn.
Anssi cũng không loại trừ hoạt động gián điệp công nghiệp hoặc chiến lược. Một số trường hợp đã được xác định ở tầm quốc tế, chẳng hạn như vụ tấn công vào MTA của New York năm 2021, khi tin tặc có liên quan đến Trung Quốc đã khai thác một lỗ hổng nghiêm trọng. Tại Pháp, có rất ít cuộc tấn công kiểu này được xác nhận, nhưng cơ quan này vẫn thận trọng: bản chất của các hoạt động này rất khó phát hiện.
Báo cáo kết luận bằng cách kêu gọi các nhà khai thác tăng cường các biện pháp bảo mật, đặc biệt là thông qua phân vùng hệ thống, kiểm tra thường xuyên và quản lý quyền truy cập tốt hơn. Bởi vì khi giao thông trở nên kết nối hơn, mối đe dọa cũng trở nên di động hơn.