Od środy 8 lutego Zarząd Transportu Metropolitalnego boryka się z awarią platformy, na której opiera się Śląska Karta Usług Publicznych (ŚKUP). W całej sieci nie działają m.in. elektroniczne kasowniki i urządzenia informacji pasażerskiej. Awaria nastąpiła w wyniku cyberataku. ZTM miał korzystać z serwera z nieaktualną wersją systemu.
Hakerzy wykorzystali podatność serwera
Do cyberataku doszło w nocy z wtorku 7 lutego na środę 8 lutego. Nieuprawnione do tego osoby uzyskały dostęp do centralnego systemu ŚKUP i uniemożliwiły jego pracę.
O zdarzeniu niezwłocznie powiadomione zostały odpowiednie służby, sprawdzono też, czy mogło dojść do wycieku danych z modułu „Reklamacja” – i zapewniono, że nie miało to miejsca, a wszystkie dane były przechowywane w formie zaszyfrowanej.
W wyniku awarii nie działa m.in. portal do obsługi kart, a strona z rozkładami przestała uwzględniać zmiany w rozkładach wprowadzone po 9 lutego. W pojazdach nie działają m.in. urządzenia lokalizujące pojazd i kasowniki ŚKUP, które były też kanałem dystrybucji biletów elektronicznych do kodowania na zwykłych kartach płatniczych.
Początkowo kasowniki elektroniczne w autobusach kursujących na gostyńskich liniach 157 i 294 próbowały połączyć się z systemem, co skutkowało komunikatem o przygotowywaniu do pracy, jednak ostatecznie wszystkie wyłączono. Obecnie tylko tradycyjne, niepodłączone do internetu kasowniki spełniają swoją funkcję.
W rozmowie z katowicką „Wyborczą” przewodniczący Górnośląsko-Zagłębiowskiej Metropolii Kazimierz Karolczak ujawnił, że atakujący wykorzystali podatność systemu, o której nie było wiadomo, zaś sam serwer działał w oparciu o system Windows Server 2008. To znaczy rozwiązanie przestarzałe i od trzech lat niewspierane przez producenta.
Awaria wykazała ponadto, że systemu ŚKUP w pierwotnej formie – przed zapowiadanymi od dawna zmianami w strukturze systemu i planowanym przejściem „do chmury” – nie posiada wersji zapasowej, która czasowo mogłaby zastąpić podstawowy serwer.
Rekomendacje i nowe regulacje
W związku z awarią wprowadzono kilka nowych zasad (wg. stanu z 11 lutego):
- Bilety jednorazowe i średniookresowe w wersji elektronicznej są dostępne poprzez aplikacje mobilne: SkyCash, mPay, moBilet, zBiletem.pl i JakDojade.
- Bilety „24h + Kolej” oraz „Dzienny” również dostępne są w aplikacjach.
- Bilety papierowe jednorazowe są dostępne w tradycyjnych punktach sprzedaży i biletomatach solarnych. Należy kasować je w zwykłych kasownikach, a jeśli nie ma takiej możliwości, to z biletem należy udać się do kierowcy. W tramwajach można dodatkowo skorzystać z zamontowanych awaryjnie kasowników dziurkujących (!), dopisując na bilecie datę i godzinę skasowania. Jeśli pasażer nie ma dostępu do żadnej z tych opcji, może po prostu dopisać na bilecie datę i godzinę skasowania.
- Bilety długookresowe zakupione w systemie przed awarią są nadal ważne.
- Aby kupić nowy bilet długookresowy w systemie pasażer musi udać się do jednego z punktów obsługi i opłacić bilet gotówką lub wykonać przelew z odpowiednią kwotą i tytułem wskazującym m.in. na rodzaj biletu – bilet zakupiony w ten sposób jest ważny tylko z potwierdzeniem przelewu (!) – szczegóły tutaj.
- Możliwość zakupu biletów kodowanych na karcie ŚKUP została zawieszona.
- Korzystanie z karty ŚKUP w ramach taryfy odległościowej jest niemożliwe.
- Korzystający z biletów wieloprzejazdowych, jeśli w czasie awarii zaczną korzystać z biletów jednorazowych, będą mogli ubiegać się o zwrot różnicy w poniesionych kosztach – tj. różnica w cenie między biletem jednorazowym a wieloprzejazdowym.
- Po usunięciu awarii ważność biletów wieloprzejazdowych zostanie wydłużona.
- W celu zminimalizowania utrudnień kierowcy będą sprzedawać wszystkie rodzaje biletów jednorazowych – na 20, 40 i 90 minut.
- Bardziej dokładna lista zmian dostępna jest tutaj.
Część wprowadzonych rozwiązań, w tym rekomendacje dotyczące biletów papierowych i kasowania ich w tramwajach w kasownikach odzyskanych z muzeów techniki, spotkały się z dużą krytyką nie tylko ze strony osób korzystających na co dzień z komunikacji miejskiej, ale też samorządowców, którzy odpowiadają za udział gmin w jej wszystkich kosztach. Prezydent Katowic Marcin Krupa zaapelował o odstąpienie od taryfy na czas awarii, jednak po rozmowach między gminami zrezygnowano z tego pomysłu ze względu na koszty.
Kiedy wrócą wszystkie usługi? Nie wiadomo. ZTM nawiązał kontakt z producentem i inną specjalistyczną firmą. Trwają działania naprawcze.
ŚKUP od zawsze z problemami
Pierwsze karty ŚKUP zostały wydane w 2014 roku, po kilku latach wdrażania systemu. Początkowo służyły w pojazdach na liniach organizowanych przez KZK GOP, jednak po tym, jak powołano metropolię i utworzono ZTM, zaczęły działać też na liniach tyskich.
System ŚKUP już w momencie startu był uważany za systemem przestarzały, działający na styku offline i online – pierwszy jego zarys pojawił się w 2007 roku. Przez pasażerów był zaś krytykowany ze względu na toporny interfejs i prędkość kodowania kart – do 24 godzin od zakupu biletu przez portal. Po przejęciu ŚKUP przez ZTM w systemie wprowadzono szereg poprawek – nowe kasowniki działają już w pełni online i obsługują zwykłe karty płatnicze, zaś nowe biletomaty solarne funkcjonują całkowicie niezależnie od systemu. Zapowiedziano też dogłębną modernizację, która do czasu awarii była w toku.
Według danych katowickiej „Wyborczej” każdego dnia z platformy ŚKUP aktywnie korzystało od 160 do 180 tys. mieszkańców metropolii.
