Zagrożenia związane z cyberbezpieczeństwem w branży kolejowej stają się coraz bardziej realne w ciągu ostatnich lat. Stopień informatyzacji w pojazdach kolejowych jest już na tyle wysoki, że ewentualne usterki lub awarie mogą prowadzić do nieakceptowalnych skutków. Dlatego ważne jest odpowiednie zarządzanie oprogramowaniem, zgodnie z wymaganiami norm TSI CCS oraz Listy Prezesa UTK. Oba dokumenty określają normę EN 50128:2011 – “Zastosowania kolejowe – Systemy łączności, przetwarzania danych i sterowania ruchem – Oprogramowanie kolejowych systemów sterowania i zabezpieczenia” jako normę obowiązującą w tym zakresie.
Norma EN 50128:2011 określa wymagania dotyczące rozwoju, wdrażania i konserwacji oprogramowania, które ma wpływ na bezpieczeństwo kolejowych systemów sterowania i ochrony. Obejmuje ona systemy operacyjne, narzędzia wsparcia, oprogramowanie sprzętowe, a także programowanie aplikacji. Ponadto, norma określa wymagania dotyczące struktury organizacyjnej, relacji między organizacjami i podziału odpowiedzialności. Wskazuje również kryteria dotyczące kwalifikacji i wiedzy specjalistycznej personelu.
Kluczowymi elementami normy są poziomy nienaruszalności bezpieczeństwa oprogramowania. Zdefiniowane zostały one jako pięć poziomów, gdzie poziom 0 jest najniższy, a 4 jest najwyższy. Im większe ryzyko wynikające z awarii oprogramowania, tym wyższy poziom nienaruszalności. Zastosowanie tej metody pozwala na skuteczne zarządzanie ryzykiem i utrzymywanie go na właściwym poziomie.
Choć niemożliwe jest zagwarantowanie całkowitej bezawaryjności oprogramowania związanego z bezpieczeństwem kolejowym, przestrzeganie przepisów minimalizuje ryzyko zagrożeń i pozwala w pełni korzystać z zalet informatyzacji.
Jakie są rekomendacje prezesa UTK dotyczące cyberbezpieczeństwa?
- Przeprowadzić przegląd zabezpieczeń ewentualnych dostępów zdalnych oraz bezpośrednich interfejsów komunikacyjnych z systemami pokładowymi pojazdów kolejowych, w szczególności należy zwrócić uwagę na modemy komórkowe i metody zdalnego dostępu serwisu.
- Na bazie inwentaryzacji oraz przeglądu należy przeprowadzić odpowiednią analizę ryzyka uwzględniającą zagrożenia związane z przestrzenią cyberbezpieczeństwa pojazdów kolejowych w całym cyklu życia pojazd kolejowego.
- Należy ograniczyć bezpośrednio dostępne usługi pozwalające na zdalny dostęp tylko do właściwie zidentyfikowanych, zabezpieczonych, nadzorowanych i akceptowalnych przypadków.
- Tam gdzie dostęp zdalny jest niezbędny należy właściwie go zabezpieczyć minimalnie z wykorzystaniem prywatnych APN (Access Point Name), połączeń VPN (Virtual Private Network) i zastosowaniu wieloskładnikowego uwierzytelniania. Należy rozważyć wdrożenie zapór sieciowych klasy UTM (Unified Threat Management).
- Tam gdzie to jest możliwe należy ograniczyć dostęp przez VPN wyłącznie do znanych adresów IP i połączeń z terenu Polski lub innych akceptowalnych krajów (jeżeli serwis jest położony poza terenem kraju).
- Należy wprowadzić segmentacje i mikro segmentacje systemów, w szczególności zapewnić separację systemów dostępnych dla pasażerów od systemów OT (Operational Technology) oraz wdrożyć ścisłe monitorowanie i kontrolowanie przepływów pomiędzy tymi systemami.
- Stosowanie silnych co najmniej 12 znakowych haseł (o ile to możliwe) i upewnienie się, że do jakichkolwiek urządzeń pokładowych nie są stosowane domyślne hasła producentów i dostawców.
- W odniesieniu do dostępu fizycznego do interfejsów urządzeń pokładowych przewoźnicy kolejowi powinni opracować procedury zarządzania takim dostępem, weryfikacji personelu serwisowego i bezpieczeństwa urządzeń podłączanych do systemów pokładowych pojazdów kolejowych.
- Tam gdzie to możliwe po przeprowadzeniu procedury zarządzania zmianą stosować aktualizacje oprogramowania urządzeń pokładowych.
- Regularne i właściwe zarządzanie podatnościami zinwentaryzowanych aktywów informatycznych. Informacje o podatnościach urządzeń oraz systemów informatycznych publikowane są w powszechnie dostępnych bazach danych.
Źródło: https://utk.gov.pl/pl/aktualnosci/19920,Cyberbezpieczenstwo-na-kolei-rekomendacje-Prezesa-UTK.html