A Belden ipari biztonsági témákkal foglalkozó blogjában jelent meg egy cikk, amiben a világ minden részén rohamosan fejlődő és terjeszkedő tömegközlekedési rendszert kiszolgáló ICS rendszerek biztonságát befolyásoló problémákat és ezek negatív hatásait ellensúlyozó tanácsokat szedtek össze.
Az egyik legfontosabb problémaként itt is az ICS rendszerek Ethernet hálózatokkal történő összekötését említik, a szokásos körülmények mentén: növelni kell a teljesítményt és kapacitást, de mindeközben a költségek csökkentése legalább ennyire fontos (ha nem fontosabb), ezért a tömegközlekedést kiszolgáló ICS rendszereknél is egyre jobban terjednek a költséghatékony standard IT technológiák, protokollok és operációs rendszerek, amelyek magukkal hozzák a nyílt interfészeket és standard protokollokat. Ahogy ezeket a technológiákat egyre nagyobb mértékben integrálják a tömegközlekedés irányító és kommunikációs rendszereibe, úgy nőnek azok a kockázatok is, amiket ezeknek a technológiáknak a már ismert, de még nem javított vagy még nem is ismert hibái jelentenek a tömegközlekedés biztonságára nézve.
Felmerülhet a kérdés, hogy a kiberbiztonság jelenthet-e olyan szintű kockázatot, amivel már foglalkozni kell, amikor a tömegközlekedésbe olyan biztonsági (safety) protokollok vannak beépítve évtizedek óta, amik számos esetben sikeresen előztek meg baleseteket és tömegszerencsétlenségeket? Tény, hogy az üzembiztonsági intézkedések a közvetlen kockázatok többségét hatékonyan csökkentik egy elfogadható szintre, azonban a kiberbiztonsági kockázatok nagyobb része nem közvetlenül, jóval inkább közvetett módon jelenik meg a tömegközlekedés ICS rendszerei esetén, különösen, hogy amint ezek az ICS rendszerek egyre összetettebbek lesznek, úgy lesz egyre nehezebb elérni a megbízható üzembiztonsági szintet.
Fontos kiemelni, hogy a kiberbiztonsági kockázatok nem kizárólag az ICS rendszerek biztonságát (safety) befolyásolhatják, hanem lehetőséget kínálnak a teljes ellátási láncra hatást gyakorolni, amelyek gyorsan válhatnak olyan hatássá, amik közvetlenül érintik a tömegközlekedés működését. Például a tartalék alkatrészek késleltetésével el lehet érni, hogy egy vonatot ki kelljen vonni a forgalomból, ezzel befolyásolva a menetrendet (ez Magyarországon nem feltétlenül jelent komoly eseményt, de vannak országok, pl. Japán, ahol még a kisebb késések sem elfogadhatóak) vagy akár a szolgáltatás egészét.
A megnövekedett kiberbiztonsági kockázatok miatt számos ICS biztonsági szabvány született az elmúlt években, amik a tömegközlekedési rendszerek kiberbiztonsági kockázatainak elfogadható mértékűre történő csökkentését célozzák. Ilyen szabvány többek között:
- APTA (American Public Transportation Association);
- Securing Control and Communication Systems in Transit Environments – Part 1;
- RSSB (UK Railway Safety and Standards Board, a railway stakeholder group);
- Rail Cybersecurity Guidance to Industry;
- Transportation Industrial Control System (ICS)Cybersecurity Standards Strategy;
- ENISA Railway;
- ISA/IEC 62443.
Ezek a szabványok számos intézkedést tartalmaznak, amiknek a bevezetése (különösen ICS környezetben) jócskán elhúzódhat, de néhány egyszerűbb, alapvető intézkedéssel jelentős javulást lehet elérni a tömegközlekedésben használt ICS rendszerek biztonságát illetően:
1.) Kockázatelemzés
Minden biztonsági intézkedést célszerű kockázatelemzéssel kezdeni, nincs ez máshogy az ICS rendszerek esetén sem. A hatékony ICS kiberbiztonság megteremtésének alapja, hogy tudjuk, milyen rendszerek, eszközök és folyamatok alkotják az ICS rendszert és értsük ezek funkcióit és üzemszerű működését, ezután lehet elvégzeni a kockázatok értékelését, ami módszertanában nem különbözik bármelyik másik informatikai rendszerrel kapcsolatban végzett kockázatelemzéstől.
2.) Tervezzünk több szintű védelmi stratégiát
A kockázatelemzés után a következő lépés a hálózat biztonságának megtervezése, amiről több szintű (vagy mélységi) védelem (Defense in Depth) néven számos helyen lehet részletekbe menő leírásokat találni. Egy jól tervezett és kialakított több szintű védelmi stratégiának mindenképpen részét képezik az alábbiak:
- Egyetlen ponton elhelyezett biztonsági eszköz/eljárás helyett több rétegbe szervezett eszközök és eljárások;
- A védelem egyes szintjei különbözzenek a többitől, ezzel is nehezítve hogy egy támadó könnyen jusson át a teljes védelmen;
- Az egyes védelmi szintek eltérő fenyegetések ellen legyenek optimalizálva;
- Az azonos biztonsági követelményekkel rendelkező eszközöket tartalmazó zónák biztonsági szintjét az ISA/IEC 62443 szabvány szerint azonos szintűre kell kialakítani.
Helyesen kialakított mélységi védelem egy véletlenszerűen vagy célzottan bekövetkező biztonsági incidens hatásait korlátozni tudja arra a hálózati zónára, ahol az bekövetkezett. Ha mindemellett a megfelelő monitoring rendszer is ki van építve, akkor a megfelelő emberek vagy csoportok rövid időn belül elkezdhetnek dolgozni az incidens minél előbb történő behatárolásán és felszámolásán.
3.) Elsőként a kritikus fontosságú eszközök biztonságát kell megteremteni
A kritikus fontosságúnak tartott eszközöket is priorizálni kell. Például a vasúti személyszállítás esetén az egyik legfontosabb berendezés az az RTU, ami a vasúti jelzőrendszert irányítja, illetve a hálózati infrastruktúra, ami kommunikáció-alapú vonatirányító rendszer (Communications-Based Train Control - CBTC - system) működését biztosítja.