Publikacje Firm

Czy krytyczne systemy kolejowe są odpowiednio chronione?

Niezaprzeczalnym faktem pozostaje stale rosnąca ilość ataków na systemy automatyki przemysłowej. Technologia cybernetyczna jest złożona i szybko ewoluuje, a cyberataki stają się coraz bardziej zautomatyzowane i wyrafinowane. Na celowniku atakujących są również wszelkiego rodzaju systemy, które są zaimplementowane na kolei. Na szczególną uwagę zasługują systemy o krytycznym znaczeniu takie jak systemy sterowania ruchem kolejowym.

Projektowanie pod kątem bezpieczeństwa transportu jest dobrze ugruntowaną praktyką na kolei. Zapewnienie odpowiedniego poziomu bezpieczeństwa dla pasażerów pochłania olbrzymie nakłady finansowe. Zastanawiam się jednak – czy oprócz zapewniania odpowiednich poziomów SIL brane są pod uwagę zagrożenia cybernetyczne, które w przypadku wykorzystania słabości lub podatności systemu mogą drastycznie wpłynąć na obniżenie bezpieczeństwa transportu? Czy wdrożono procesy oceny ryzyka i zarządzania ryzykiem cybernetycznym?

W systemach sterowania ruchem kolejowym i towarzyszącym im systemach komunikacyjnych w zależności od linii kolejowej występują współpracujące ze sobą rozwiązania różnej generacji. Na wysoki poziom ryzyka wpływają starsze rozwiązania, przy projektowaniu których w ogóle nie uwzględniano aspektów związanych z cyberbezpieczeństwem, ale paradoksalnie również nowe systemy, oparte w warstwie sieciowej o stos protokołów TCP/IP wprowadzające zagrożenia analogiczne do tych, które występują w sieciach IT i Internecie. Stosowanie w systemach automatyki otwartych rozwiązań i systemów operacyjnych powszechnie używanych w świecie IT, które są obciążone setkami znanych podatności (o ile nie są aktualizowane w odpowiedni sposób) praktycznie są jednym z czynników wymuszających konieczność właściwego zabezpieczenia tych obszarów.

Często słyszy się stwierdzenie, że system jest odizolowany i nie występuje możliwość niepożądanej ingerencji. Ale czy tak jest na pewno? Czy takie stwierdzenie nie jest przypadkiem zbyt nonszalanckie bez wdrożonego ciągłego monitorowania sieci, bez przeprowadzania cyklicznych testów cyberbezpieczeństwa?

Myślenie, że systemy przemysłowe o znaczeniu krytycznym oraz tak skomplikowane systemy jak SRK są całkiem odizolowane to jedno z nieporozumień dotyczących cyberbezpieczeństwa na kolei. Wystarczy spojrzeć na topologie systemu ERTMS, aby zauważyć z jak wielu elementów się składa. Rozwiązania sieciowe przewodowe i bezprzewodowe łączą tu elementy znajdujące się na pokładzie pociągu, elementy przytorowe oraz systemy oddalone jak centra zarządzania ruchem kolejowym. A przecież nawet do sieci odizolowanej od innych sieci można wprowadzić złośliwe oprogramowanie poprzez takie wektory ataku jak np.   podłączenie laptopa serwisanta czy podłączenie pamięci USB do stacji operatorskiej (pamiętacie Stuxnet?).

Oprócz systemów SRK na kolei eksploatowanych jest wiele innych systemów np. systemy: informacji pasażerskiej, automatyki budynkowej, CCTV, klimatyzacji i wentylacji jak i bardzo istotne systemy zasilania. Czy ktoś zna wszystkie elementy, które biorą udział w komunikacji w tych systemach, czy można określić, że nie występują żadne odstępstwa od zdefiniowanych standardów komunikacji? Jeszcze raz stawiam tu tezę, że bez odpowiednio wdrożonych systemów ciągłego monitorowania (IDS) zapewniających pełną widoczność sieci (urządzenia, komunikacja, protokoły),służących do wykrywania zagrożeń – odpowiedzi na powyższe pytania będą negatywne.

W tym miejscu należy zauważyć, że ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada na operatorów kluczowych usług, a transport do takich należy, określone obowiązki. Jednym z nich jest wdrożenie systemu ciągłego monitorowania. Czy systemy SRK nie należą do grupy systemów krytycznych, które w pierwszej kolejności powinny zostać objęte monitorowaniem?

Mówiąc o systemach ciągłego monitorowania należy tu zaznaczyć, że chodzi tu o rozwiązania służące do wykrywania zagrożeń cybernetecznych takich jak np. aktywność złośliwego oprogramowania, niedozwolona komunikacja w sieci, pojawienie się nowych urządzeń w sieci itp. Tego typu systemy to tzw. rozwiązania IDS (ang. Intrusion DetetectionSystem) czyli systemy wykrywania zagrożeń / wtargnięć do sieci. Zastosowanie tego typu rozwiązań jest całkowicie bezpieczne, ponieważ działają one w sposób pasywny. Oznacza to, że analizują one kopię ruchu sieciowego, a same nie wprowadzają do sieci żadnych pakietów.

Implementacja wspomnianych systemów w branży energetycznej, przemyśle gazowym i petrochemicznym jest już na „porządku dziennym” czy jednak kolej może zawierzyć w „uniwersalność” oferowanych przez producentów rozwiązań IDS-owych stosując je w systemach SRK?

Dla systemów sygnalizacji i sterowania ruchem kolejowym z pewnością powinny być zastosowane dedykowane rozwiązania, które we właściwy sposób automatycznie rozpoznają urządzenia pracujące w tej sieci, rozpoznają zastosowane protokoły sygnalizacyjne oraz potrafią z wykorzystaniem technologii głębokiej analizy pakietów (DPI) zweryfikować prawidłowość komunikatów (telegramów) przesyłanych pomiędzy centrum sterowania ruchem a systemem RBC i dalej pociągiem. Taki system monitorowania powinien też zapewniać intuicyjny interfejs dostosowany dla użytkownika końcowego, na którym w przejrzysty sposób prezentowane będą wykryte zagrożenia i ew. nieprawidłowości w ruchu sieciowym w jasny sposób powiązane z odpowiednimi urządzeniami. Rozwiązanie takie pozwoli obsłudze zareagować na zdarzenia i ew. incydenty.

Oczywiście oprócz pasywnych rozwiązań służących do monitorowania warto stosować inne rozwiązania poprawiające bezpieczeństwo sieci takie jak firewall lub dioda danych, jednakże wdrożenie rozwiązań służących do detekcji zagrożeń i zapewnienia widzialności sieci jest koniecznością, ponieważ trudno chronić zasoby, których się nie widzi.

Zapewnienie odpowiedniego poziomu cyberbezpieczeństwa krytycznym systemom jest wielkim wyzwaniem dla kolei. Potwierdziła to ostatnia debata, którą miałem przyjemność prowadzić w Wiśle. Jest to jeden z kluczowych tematów, z którym będzie musiała się zmierzyć Polska Kolej, co z pewnością potwierdzą audyty prowadzone w związku z ustawą o KSC.

Autor: Piotr Kubicki,
Director of Business Development Group
Technitel Polska S.A..

Reklama