Sektor kolejowy jest odpowiedzialny za kluczowe dla rozwoju kraju jak i Unii Europejskiej usługi, by te usługi były realizowane musi działać szereg różnych systemów z czego najbardziej krytyczny to system sterowania ruchem kolejowym (SRK) w tym również ERTMS.
Systemy te podobnie jak inne systemy automatyki przemysłowej są stale narażone na ataki, na co wskazują liczne raporty (Kaspersky, SANS itd.). Należy zwrócić uwagę, że oprócz znanych z doniesień medialnych incydentów z użyciem złośliwego oprogramowania typu ransomware, kilka z opisanych ataków to tzw. ataki APT, czyli ataki bardzo dobrze przygotowane i dokładnie wycelowane. Atakującymi mogą być sprawcy zewnętrzni tacy jak wywiady obcych państw, organizacje przestępcze, hakerzy czy haktywiści jak również osoby z pracujące dla organizacji, czyli np. pracownicy czy inne osoby upoważnione mające uprawnienia i dostępy do infrastruktury technicznej.
Systemy kolejowe zagrożone są atakami cybernetycznymi z kilku powodów – po pierwsze stare, już długo istniejące systemy i protokoły przemysłowe nie były tworzone z uwzględnieniem założeń dot. cyberbezpieczeństwa (problem ten dotyczy również nowszych systemów). Kolejnym jest postępująca automatyzacja, złożoność rozwiązań, konwergencja, łączność bezprzewodowa z wykorzystaniem rozwiązań tożsamych z tymi jakie stosowane są w sieci Internet. Rozwiązania te często zawierają podatności, które mogą być wykorzystane przez atakujących. Raport ENISA wymienia też szereg innych wyzwań dot. cyberbezpieczeństwa na kolei, min. takich jak:
- Niska świadomość cyfrowa i cyberbezpieczeństwa w sektorze kolejowym.
- Trudność w pogodzeniu światów bezpieczeństwa (transportu ludzi i towarów) i cyberbezpieczeństwa.
- Zależność od łańcucha dostaw w zakresie cyberbezpieczeństwa.
- Cyfrowa transformacja podstawowej działalności kolejowej.
- Geograficzne rozproszenie infrastruktury kolejowej i istnienie starszych systemów.
- Złożoność regulacji dotyczących cyberbezpieczeństwa.
Z powyższego wynika, że cyberbezpieczeństwo stanowi spore wyzwanie dla sektora kolejowego. W Polsce obowiązuje Ustawa o Krajowym Systemie Cyberbezpieczeństwa będąca implementacją do porządku krajowego Dyrektywy NIS. Ustawa nakłada na operatorów usług kluczowych wdrożenie systemu zarządzania bezpieczeństwem w systemie informacyjnym, który jest wykorzystywany do świadczenia usługi kluczowej. Wymagane jest systematyczne szacowanie ryzyka, dostosowanie do niego środków bezpieczeństwa oraz ciągłe monitorowanie systemu zapewniającego świadczenie usługi.
Jeśli chodzi o wytyczne odnośnie cyberbezpieczeństwa konkretnie przeznaczone dla sektora kolejowego to trwają prace nad techniczną specyfikacją TS 50701 „Railway applications – Cybersecurity” realizowane przez komitet CENELEC’s Technical Committee 9X.
Natomiast istniejącym standardem dotyczącym cyberbezpieczeństwa systemów automatyki i przemysłowych systemów sterowania jest zestaw dokumentów IEC 62443. Metodyka oceny ryzyka oraz rekomendacje dotyczące zabezpieczeń zawarte w tym standardzie zostały wykorzystane w europejskim projekcie badawczym Cyrail, którego celem była analiza zagrożeń dla systemów kolejowych i określenie metod detekcji cyberzagrożeń i technik alarmowania.
Warto w tym miejscu zwrócić uwagę, że nawet obecnie eksploatowane sieci są zbudowane z elementów, które posiadają funkcjonalności mogące poprawić poziom cyberbezpieczeństwa i obniżyć ryzyko ataku. Natomiast budując sieć w oparciu o dedykowane dla systemów SRK przełączniki Westermo wykorzystujące system operacyjny WeOS mamy do dyspozycji jeszcze więcej funkcji poprawiających cyberbezpieczeństwo. Możliwy jest tu min. podział sieci na VLAN-y, filtrowanie ruchu pomiędzy VLAN-ami za pomocą reguł firewall-a (egzekwowanie polityki bezpieczeństwa), szyfrowanie komunikacji z użyciem VPN IPSec lub SSL czy też użycia funkcji portu mirror do skopiowania ruchu sieciowego do systemu ciągłego monitorowania. Rozwiązania sieciowe Westermo zapewniają ciągłoś działania sieci również dzięki funkcjom zapewniającym redundancję połączeń takich jak sieć o topologii pierścienia oparta o protokół FRNT z czasem przełączenia do 30 ms, agregacji połączeń czy połączeniom typu „dual homing”.
Zabezpieczanie sieci korzystając z ww. rozwiązań jest ważnym elementem programu cyberbezpieczeństwa, jednakże krytyczna jest detekcja zagrożeń i anomalii sieciowych za pomocą systemów ciągłego monitorowania. Wykorzystując odpowiednie narzędzia, incydenty mogą być wykrywane w czasie rzeczywistym, co umożliwia zastosowanie odpowiednich środków zaradczych zanim zostaną wyrządzone szkody. Do monitorowania tego typu infrastruktury (SRK) konieczne jest zastosowanie dedykowanego dla kolei systemu detekcji zagrożeń (IDS) który umożliwi inwentaryzację zasobów i identyfikację zagrożeń w stale modernizowanym środowisku.
CylusOne to system, który umożliwia kompletne monitorowanie sieci w czasie rzeczywistym zapewniając widoczność połączeń logicznych wraz ze szczegółami dot. protokołów komunikacyjnych. Monitorowane są urządzenia włącznie z systemami sygnalizacyjnymi, systemami blokad liniowych, stacjami roboczymi, itp. Status sieci jest prezentowany w czasie rzeczywistym na podstawie pasywnej analizy ruchu sieciowego przy wykorzystaniu techniki głębokiej analizy pakietów DPI (Deep Packet Inspection). Na rysunku 1 przedstawiono ideę działania systemu, natomiast na rysunku 2 architekturę podłączenia systemu Cylus do monitorowanej sieci.
Dogłębny wgląd w sieć eliminuje martwe punkty i ujawnia zagrożenia, które mogą wynikać z działań złośliwych użytkowników lub ataków na łańcuch dostaw, które mogą wystąpić za zaporą sieciową takich jak błędna konfiguracja, ukryta komunikacja, złośliwy kod itd. Intuicyjny interfejs umożliwia osobom odpowiedzialnym za systemy kolejowe zrozumienie ryzyka i odpowiednią reakcję na incydenty a widoczność sieci, połączeń, protokołów jest kluczowa dla prawidłowej oceny ryzyka oraz podejmowania działań zabezpieczających i obsługę incydentów. CylusOne umożliwia prezentację informacji (urządzenia i połączenia między nimi) w hierarchicznym układzie, wskazując poprzez odpowiednie kolory potencjalne problemy i zagrożenia. Dostępna jest również pełna inwentaryzacja monitorowanego systemu w formie tabelarycznej.
W przypadku zidentyfikowania przez system ruchu sieciowego mającego znamiona włamania do sieci lub aktywności złośliwego oprogramowania zostaje w czasie rzeczywistym wygenerowany alarm uzupełniony o szczegółowe informacje jak np. podstawowa przyczyna, dotknięte zdarzeniem urządzenia oraz rekomendowane działania. Operator systemu ma możliwość zapoznania się z detalami danego zdarzenia i podjęcia działań związanych z jego obsługą a następnie rozwiązaniem.
Kolej traktuje bezpieczeństwo z najwyższym priorytetem i tego samego możemy się spodziewać w podejściu do cyberbezpieczeństwa ponieważ zaniedbania w tym zakresie mogą wpłynąć właśnie na bezpieczeństwo. Operatorzy usług kluczowych mogą spodziewać się dalszego postępu legislacji wymagającej od nich dalszych inwestycji, których brak będzie penalizowany. Wspomniane w artykule propozycje poprawiające architekturę i zapewniające widoczność i wykrywanie zdarzeń, stanowią solidny fundament, na którym można w przyszłości oprzeć struktury bezpieczeństwa organizacji.
Powyższy artykuł ukazał się również na łamach czasopisma Raport Kolejowy / 06_2020.