欧盟铁路现状与网络安全挑战

新闻
3年前

1616381760189851.png

 2020年11月,欧盟网络与信息安全局(ENISA)发布《铁路网络安全》报告,陈述欧洲铁路面临的种种网络安全挑战。报告指出了当前的网络安全状态和问题,并提出了应对这些问题和加强铁路安全态势的网络安全措施。报告基于21个欧盟成员国基本铁路服务运营商过去两年间的数据。

▶ 欧盟铁路现状

铁路行业是欧盟及其成员国发展的关键基础设施,因为铁路驱动着各国国内和跨境物流与客运。提供这些服务的关键实体是:

  • 负责通过铁路运送物资和乘客的铁路企业。

  • ·基础设施经营者,负责建立、运营和维护铁路基础设施:交通管理、指挥、控制与信令、车站运营和列车供电。

两类实体连同整个铁路行业在欧盟《网络与信息系统安全指令》(NIS Directive)被称为基本服务运营商(OES),必须遵从该指令的安全要求。为达成和维护合规,铁路实体必须实施NIS指令合作小组制定的网络安全措施,分为四类:

  • 治理与生态系统 - 信息系统安全治理与风险管理

  • 保护 - 身份与访问管理、物理安全

  • 防御 - 危机管理与业务连续性

  • ·弹性 - 事件响应与管理、检测

欧盟铁路局(ERA)信息与通信技术(ICT)安全顾问Giannis Kostakis称:“过去几年,我们重在数字化基础设施和满足市场需求与新工作方式的服务。与欧盟其他行业一样,技术如今起到举足轻重的作用,既带来了新机遇,也引入了新挑战。”网络安全是推动铁路行业全面部署和充分利用数字技术的关键要求。

▶ 网络安全挑战

铁路行业努力实现所需网络安全措施,力求能够抵御利用各种漏洞的网络攻击,但此遭遇到了各种各样的挑战与阻碍。ENISA报告指出,“铁路行业数字化转型过程中,铁路利益相关者必须在运营要求、业务竞争力和网络安全方面取得平衡。”

报告中强调的主要网络安全挑战如下:

  • 网络安全意识欠缺。工作人员的网络安全意识依然很低。Kostakis表示:“安全文化是需要投入大量时间才能成功树立起来的细致活儿。”然而,报告表明,WannaCry和NotPetya攻击等近期安全事件已经给安全意识提升工作敲响了警钟。

  • 运行安全与网络安全要求之间的冲突。每个网络安全补丁和更新,运行安全团队都需要确保运行安全机制完好如初。这需要额外的时间和金钱。此外,报告还强调,同时处理运行安全和网络安全要求很难,二者有时候相互重叠或冲突。

  • 关键服务的数字转型。大多数铁路公司都在经历数字转型,引入了一系列IT和接入互联网的物联网设备。然而,这些组件的引入、标识和管理并不妥善,形成了新的漏洞,扩大了威胁界面。

  • 供应链风险。Kostakis称:“远程访问和互联系统增加了攻击界面和供应链攻击风险。”因为铁路实体的系统更新、补丁管理和生命周期管理都重度依赖多种多样的第三方供应商和提供商。这种情况就增大了标准化的难度,造成难以针对所有系统定义和实现基准网络安全措施。而且,第三方供应商不受NIS指令的规定限制,所以也不会严格遵从法定要求来实施网络安全。

  • 老旧系统。Kostakis指出:“铁路基础设施包含各种各样的复杂硬件系统和组件。其中一些可视为老旧系统。怎么更新这些关键系统也是个老大难问题。”

  • 网络安全要求复杂。铁路实体需遵从NIS指令和国家安全要求,令合规问题变成了耗时耗力的一项工作。而且,所有欧盟成员需就网络安全要求达成一致,并形成专门针对铁路的网络与信息系统概况。

▶ 网络与信息系统合规水平

ENISA报告描述了铁路行业网络安全措施实现状态。报告表明,各个实体的网络与信息系统合规水平不同,具体表现在网络安全成熟度、数字化技术、规模、业务挑战、供应商和网络安全资源分配等方面各有差异。

  • 47%的铁路公司实现了治理、风险管理和生态系统管理措施,少数几家报告称现阶段正开展全公司范围的网络安全项目。

  • 53%的铁路企业实现了防护措施。访问控制或系统隔离等基本网络安全措施似乎已经实现良好,并得到有效控制。但是,技术专长要求高的安全措施,例如密码控制或工业控制系统(ICS)网络安全控制,实现率就不那么高了。

  • 52%的铁路行业实体实现了防御相关的安全措施。技术专长要求不高的安全措施,例如与主管部门或计算机网络安全应急小组(CSIRT)沟通,或者事件报告,似乎实现良好并得到有效控制。

  • 57%的铁路公司实现了弹性措施。尽管危机与事件管理是铁路行业日常业务的一部分,已有危机处理流程与业务连续性管理却仍需调整,要能覆盖网络安全事件。

▶ 前路漫漫

ENISA关于欧洲铁路网络安全状态的报告为欧盟铁路组织和政策团体提供了重要见解。欧洲各国当局应采取行动,应对报告中指出的各种挑战,提升铁路行业的网络安全态势。政策规范与统一,以及建立起网络安全思维和文化,就归属应当采取的行动步骤之列。

Giannis Kostakis提出了面对前路的几项建议:“强有力的安全文化和自顶向下的管理层支持总能推动超出预期的表现。应专门制定并维护基于受认可标准的安全改善计划,强化包括及时补丁管理在内的主动控制措施。此外,铁路实体还应确立足够的反应式控制措施,与欧盟计算机应急响应小组(CERT-EU)充分协作,一起应对持续不断的网络事件和复杂攻击。与欧洲当局和政府机构合作能够确保即时决策和持续支持。”

ENISA《铁路网络安全》报告:(戳阅读原文直接打开)
https://www.enisa.europa.eu/publications/railway-cybersecurity

关键词:铁路网络安全;欧盟;ENISA