Komentarze

Czy branża SRK jest gotowa na nowe cyberprzepisy?

Dalej

Wstecz

Autor:

inf. pras. Kombud Group

Data publikacji:

19-11-2024

Ostatnia modyfikacja:

19-11-2024

Tagi:

Kombud, Kombud Group, Kongres Kolejowy 2024, ZA Kombud

Tagi geolokalizacji:

, Polska

Podziel się ze znajomymi:

KOMENTARZE

Czy branża SRK jest gotowa na nowe cyberprzepisy?

fot. Redakcja

W projekcie ustawy implementującej dyrektywę NIS2 określono, że podmioty kluczowe oraz ważne będą miały 6 miesięcy na dostosowanie się do wymogów organizacyjnych oraz technicznych. Czy branża sterowania ruchem kolejowym jest wystarczająco przygotowana, aby w tak krótkim czasie dostosować się do nowych przepisów? Jakie zagrożenia a jakie szanse sektor widzi w związku z nowymi przepisami cyberbezpieczeństwa? Na to pytanie odpowiada członek zarządu Kombud Group SA Anna Szczygielska.

Uważam, że w obecnej sytuacji geopolitycznej zwiększenie poziomu bezpieczeństwa informacyjnego powinno być priorytetem podmiotów działających w sektorze infrastruktury krytycznej i w tym kontekście pozytywnie postrzegam wdrożenie regulacji na poziomie unijnym i krajowym. Wierzę też, że będzie to impulsem do zapoczątkowanego już procesu cyfryzacji kolei.

Cyfryzacja kolei

Dla naszej grupy, która wyposażyła ponad 200 stacji w systemy na sieciach PKP PLK, Metra Warszawskiego i innych zarządców infrastruktury kolejowej, działania w obszarze cyberbezpieczeństwa są ujęte w strategii rozwoju już od kilku lat. Posiadamy wdrożony i scertyfikowany system zarządzania bezpieczeństwem informacji zgodnie z normą ISO 27001 oraz określone procedury ciągłości działania zgodne z wymaganiami ISO 22301. Dzięki temu wiele procesów, takich jak analiza ryzyka czy wdrożone mechanizmy kontroli dostępu, już odpowiada wymaganiom nowych regulacji w zakresie zarządzania ryzykiem, polityk bezpieczeństwa, ochrony informacji oraz reagowania na incydenty.

Jako firma technologiczna posiadająca w swoich szeregach ponad 300 inżynierów i doświadczenie w codziennej pracy z rygorystycznymi wymaganiami bezpieczeństwa funkcjonalnego postrzegamy 6 miesięcy jako ambitny okres na dostosowanie się do nowej ustawy. Dlatego mogę tylko przypuszczać, że pozostali uczestnicy rynku stoją przed dużo poważniejszym wyzwaniem.

Rozmawiając o niezawodnej kolej w obliczu zagrożeń hybrydowych, nie powinniśmy również zapominać o wymaganiach w zakresie cyberbezpieczeństwa dla nowych instalacji. W swojej dotychczasowej historii kilkuset projektów tylko przy jednym kontrakcie realizowanym dla klienta zarządzającego kluczowym obiektem infrastrukturalnym o strategicznym znaczeniu dla kraju spotkaliśmy się ze zdefiniowanymi wymaganiami cyberbezpieczeństwa na poziomie dokumentacji przetargowej. To wdrożenie wiązało się z przygotowaniem zaawansowanego systemu zabezpieczeń, obejmującego m. in.:

segmentowanie sieci (opartej o MPLS-TP), z kontrolą dostępu, jednolitym systemem NMS (Network management system),
scentralizowane zarządzanie uprawnieniami dostępu (tzw. Active Directory), w tym - kontrole i blokowanie urządzeń peryferyjnych,
kontrole uruchamianego oprogramowania,
interfejs do systemu SIEM, przy zastosowaniu transmisji jednokierunkowej (dioda danych).

Oczywiście całość opatrzona jest dokumentacją systemu, instrukcjami i procedurami.

Mamy też w Kombud Group doświadczenia z innych realizacji, gdzie stosowaliśmy m. in. zabezpieczenie zdalnego dostępu do infrastruktury poprzez rozwiązania typu PAM (Privileged Access Management). Widzimy potencjał w wykorzystaniu tych doświadczeń przy wdrażaniu diagnostyki zdalnej, tak by nie wpływać na izolowane dotąd systemy, co wiązałoby się z oczywistymi zagrożeniami. Do zalet diagnostyki zdalnej chyba wszyscy jesteśmy przekonani, poczynając od redukcji kosztów i zwiększenia dostępności.

Wspomniane realizacje sprowokowały nas do wewnętrznej dyskusji nad poszukiwaniem odpowiedniej granicy między dostępnością a odpornością systemów, gdyż zwiększenie poziomu cyberbezpieczeństwa przekłada się bezpośrednio na utrzymanie i serwisowanie urządzeń. Co za tym idzie, powoduje nawet dwucyfrowy wzrost kosztów systemów w całym cyklu życia.

Jak zabezpieczyć sieć kolejową oraz ETCS przed skutkami cyberataków?

Warto podkreślić fakt, że standard GSM-R działa w oparciu o technologię 2G, w której szyfrowanie danych (oparte o A5/1) zostało już złamane przez hakerów. GSM-R to technologia opracowana ponad 30 lat temu, kiedy główną uwagę skupiano na niezawodności działania systemu, nie na aspektach cyberbezpieczeństwa. Planowane zastąpienie w 2030 GSM-R przez FRMCS (oparte o technologię 5G) znacząco zwiększy bezpieczeństwo transmisji danych i komunikacji.

W przypadku naszego rozwiązania technicznego (balisa i koder LEU) stosujemy zabezpieczenie w postaci „klucza sprzętowego” z odpowiednimi uprawnieniami. Oznacza to tyle, że balis, ani kodera LEU nie można przeprogramować bez stosownych narzędzi. Do zmian konfiguracji potrzebny realizacji jest komputer wraz z oprogramowaniem, programatorem do balis oraz kluczem sprzętowym. Klucz sprzętowy ma zapisane stosowne uprawnienia wraz z terminem ważności. Jest on przypisany do konkretnej osoby.

Nie bez znaczenia pozostaje odporność samego systemu srk, którą możemy zwiększyć m. in. poprzez segmentację sieci, ograniczenie dostępu, stosowanie wielowarstwowych zabezpieczeń na poziomie zarówno programowym, jak i sprzętowym. Dobrą praktyką jest prowadzenie regularnych audytów oraz testów penetracyjnych, które pomagają wykryć luki bezpieczeństwa, zanim zostaną one wykorzystane przez cyberprzestępców. Nie możemy również zapominać o stałym podnoszeniu świadomości personelu na temat zagrożeń.

Jednocześnie, mając na względzie zapewnienie ciągłości działania przewozów kolejowych, nie możemy zapominać o pozostałych blisko 10 tysiącach linii kolejowych, stanowiących ok 50% całej infrastruktury, na których nie jest przewidziana instalacja systemu ETCS L2 czy L1 FS. Rok temu mieliśmy do czynienia z serią incydentów związaną z nieuprawnionym użyciem sygnału Radiostop, skutkującego zatrzymaniem ponad 20 pociągów. Alternatywą dla systemu radiostop jest wdrożenie ETCS L1 LS. Cieszę się, że ten temat jest szeroko dyskutowany.

Bezpieczeństwo cyber wymaga bezpieczeństwa fizycznego, o czym mogli się przekonać uczestnicy otwarcia Igrzysk Olimpijskich we Francji. W obliczu wojny hybrydowej poważnym wyzwaniem jest ciągłe zapewnienie odporności cyber, gdyż, w przeciwieństwie do poziomów bezpieczeństwa SIL, cyber degraduje się z czasem, ponieważ cały czas są wykrywane nowe podatności.

Na koniec chciałabym podać dwie liczby. O ile w 2016 roku w międzynarodowym systemie identyfikacji i katalogowania luk oraz zagrożeń w oprogramowaniu i sprzęcie komputerowym, tzw. CVE (czyli Common vulnerabilities and exposures - baza luk bezpieczeństwa) było zarejestrowanych ok. 6,5 tys. podatności, to w lipcu 2024 w bazie znajdowało się już ich ponad 240 tys. Co to oznacza? Zwiększa się skala zagrożeń, jest coraz więcej mniejszych i większych dziur, które mogą mieć wpływ na bezpieczeństwo systemu. Dlatego tak ważna jest ciągła wymiana doświadczeń w gronie specjalistów.

Tagi:

Kombud, Kombud Group, Kongres Kolejowy 2024, ZA Kombud

Tagi geolokalizacji:

, Polska

Podziel się z innymi: