Még 2020. novemberében jelent meg ez a tanulmány az ENISA weboldalán, ami az európai vasutak kiberbiztonsági helyzetét taglalja, felmérve a jelenlegi kiberbiztonsági szintet és kihívásokat, valamint javaslatokat is tesz arra vonatkozóan, hogyan lehetne javítani a biztonság szintjét és milyen válaszokat lehet adni a látható kihívásokra.
A vasúti szektor cégei (a vasúttársaságok és a vasúti pályahálózat üzemeltetői) Európában a NIS direktíva alapján a létfontosságú szolgáltatások üzemeltetőinek (Operators of Essential Services, OES) számítanak, így nekik is ki kell dolgozniuk az alábbi négy kategóriában tartozó biztonsági kontrollokat:
- Információs rendszerek biztonság-irányítása és kockázatkezelése;
- Jogosultságkezelés és fizikai biztonság;
- Krízis-menedzsment és üzletmenet-folytonosság;
- Incidenskezelés és kapcsolódó tevékenységei.
Az ENISA tanulmányában feltárt kiberbiztonsági kihívások a vasúti szektorral kapcsolatban az alábbiak:
- Alacsony szintű biztonságtudatosság - személyes megjegyzés: semmi meglepő, gyakorlatilag úgy látom, hogy minden szektornak többé-kevésbé ugyanazt a fejlődési pályát kell bejárnia az OT biztonság terén, kezdve azzal, amikor a biztonsági kérdéseket feszegető keveseket arról próbálják meggyőzni az adott szektor folyamatirányítási mérnökei;
- Konfliktusok a kiberbiztonsági és safety-követelmények között - ez a konfliktus már érdekesebb kérdés, mert a safety (az én felfogásom és eddig információim szerint) mindig és minden körülmények között üt bármi mást;
- A kritikus szolgáltatások digitális transzformációja - itt sincs nagy meglepetés, szinte minden kritikus infrastrutúra előbb vagy utóbb eljut oda, hogy a digitális transzformáció nevű kezdeményezésnek nem tud tovább ellenállni, de sajnos a legtöbb esetben a biztonsággal kapcsolatos érvek meglehetősen alacsonyra kerülnek a prioritási listán, ha egyáltalán felférnek oda...
- A beszállítói láncban megjelenő kockázatok - sokat ezt sem kell magyarázni, a SolarWinds és Centreon incidensek óta ez a téma sokkal inkább a figyelem középpontjában van, mint korábban bármikor (pedig korábban is voltak súlyos incidensek, amiknél a támadó egy megbízható(nak tekintett) gyártón/szállítón keresztül jutott be számos célpontja rendszereibe);
- Elavult rendszerek - ez sem újdonság, nyilván a vasúti szektor speciális jelző- és biztosítóberendezések és rendszerei sem képeznek kivételt az általános ICS rendszerekkel kapcsolatos problémák (hosszú életciklus, drága bekerülési érték, stb.) alól;
- Összetett biztonsági követelményeknek való megfelelés - a vasúti szektor cégeinek jelenleg úgy kell egyszerre megfelelniük a NIS direktívában előírtaknak, hogy közben még a nemzeti szabályozó hatóságok előírásait is szem előtt kell tartaniuk. Nyilván ahogy a NIS direktívát egyre több tagállam integrálja a saját nemzeti jogrendjébe, ez a kihívás talán kisebb lesz, de felmerült már az igény egy vasúti szektorra vonatkozó szektor-specifikus NIS profilra.
Talán már a fentiekből is látszik, hogy a vasúti szektor kiberbiztonságával kapcsolatban bőven van még tennivalójuk a szektor OT és biztonsági mérnökeinek, különösen annak fényében, hogy a karbonsemlegességi célok elérése érdekében egyre inkább próbálják a vasúti közlekedést a légiközlekedés alternatívájaként kínálni.