保护今天、明天和未来的铁路网络安全

我们铁路的数字转换 - 无论是那么基础设施资产,信号或滚动股 - 继续以大量的节奏。通过数字化组件，网络安全现在成为一个关键考虑因素，因为目标轨道可能具有严重的安全影响。与我们的传统信息技术（IT）系统不同，铁路资产属于“运营技术”（OT）系统的类别，我们在这些系统上的要求非常不同。

它并不能

它与存在的OT系统之间存在几个关键差异，这也适用于我们的铁路行业。当我们设计，采购和维护资产时，他们的运营寿命是数十年的数十年来衡量的，而不是通常部署的几年。这意味着我们不仅可以保护我们的资产免受能够在今天的能力攻击我们的系统的对手，而且还可以随着时间的推移获得能力的对手。一个很好的例子是公钥加密。This is what is commonly deployed to protect and assure information in transit between two systems – we use it anytime we visit a secure website where it proves that it’s genuine and that data I send, for example, to my bank, cannot be intercepted and read by anyone else. Public-key cryptography depends on the difficulty to factorise a very large number. However, when we are in a ‘post-quantum’ world, this is possible. Significant efforts by industry and academia are working on solutions in this area.

另一个区别是资产所有者，无论他们是基础设施经理还是车辆所有者将获得通常“封闭源”系统，我们依靠供应商和供应链的认证和保证。欧洲联盟网络和信息系统（NIS）指令旨在在基本服务中开发网络安全文化，并对资产所有者担任责任，以确保其资产的网络安全。在许多欧盟成员国，铁路部门被视为“基本服务”，我们必须对我们资产的网络安全信心。

铁路中的网络安全

在铁路部门，我们已经看到网络安全发展成为标准，例如欧洲铁路交通管理系统(ERTMS)，这是朝着正确方向迈出的重要一步，但我们如何确保我们的资产安全?网络安全是一个连续的过程，必须在资产的生命周期中进行审查。与安全保障不同的是，如果我们不从根本上改变我们的资产，网络安全是一个不断变化的动态。因此，我们必须准备定期不断地审查设计和实现决定，以确保我们的资产保持安全。随着我们继续拥有高度数字化的机队和基础设施资产，这一挑战只会继续出现。

在我们深入研究解决方案和我们必须考虑的问题之前，回顾资产的生命周期(从设计到实现、部署，然后退休)是很重要的。当我们设计和开发我们的系统和资产时，我们通常受到当时可用硬件的限制，这意味着我们必须做出决策，在不影响性能的情况下提供最佳的安全性。然而，随着时间的推移，这些障碍将被消除，我们应该寻求实施这些改进，以从最大的安全中获益。例如，在1997年，当开发ERTMS标准时，由于硬件限制，必须仔细选择使用的密码学。然而，这些硬件限制早已消失，大多数计算机处理器现在受益于AES的硬件实现，这在20多年前是不可能的。当这些障碍不再存在时，我们应该考虑在设计方面实施最佳实践和可用的解决方案，并将其作为改进的机会。

审查和管理风险

当我们将资产部署到铁路环境中时，这不是我们旅程的结束。我们需要维护它，不仅用于运营绩效，还要确保我们了解该资产的网络安全风险以及该职位是否发生了变化 - 例如，如果前面的技术能力不存在，但是很快就可以了。我确定了一个资产的设计和维护，从网络安全的角度来看，是至关重要的，但为什么？我们首先必须获得我们的设计决策，因为这些最终决定了部署资产的安全性。一旦部署，我们必须审查和管理风险，更新我们的资产并适应他们以确保网络安全。有些问题是我们可以认为作为一个部门，既可以以供应商和客户一样，这将使我们能够以与安全的方式相同的方式开发网络安全。

鉴于获得资产的保证和认证所需的时间，我们需要考虑提前时间以提供改进。今天不脆弱的是什么可能在5到10年的对手可能处于可能的领域。开发解决方案的早期账户为此提供的时间，并确保我们理解威胁景观，并在出现这些风险时准备。

当我们设计这些解决方案时，存在一个很好的问题“我们开始的地方？”。如本文前面提到的，OT系统的网络安全与我们的传统IT系统非常不同，具有较为不同的利用。例如，已经利用哪些破坏操作 - 例如Stuxnet和Wannacry（操作系统被关闭以防止扩展） - 到那些故意改变系统（Triton）的配置的那些。在Wannacry的情况下，我们看到它影响铁路部门，从乘客信息显示在平台上，以便关闭工程工作站以保护铁路的安全操作。我们的铁路资产落在了工业系统的这种伞下，在那里，我们可以看看过去发生的事情，以定义我们审查，解决和发展到适当的控制，以确保未来安全的问题。这些问题适用于我们的部门作为资产业主和内部供应链，以确保我们不仅可以通过设计安全，而且还要确保我们可以不断提高部署资产的安全性。在伯明翰，我们花了一些时间看着工业系统的网络威胁景观，这些威胁通常会减少几个主题，例如：访问控制措施差;附加入口点到绕过设计的身份验证方法的系统;代码中的内存管理差;部署的密码弱或破碎; web-based weaknesses in applications; and poor handling of input, leading to loss of availability. These allow us to ask vendors if they have ensured that these issues don’t exist, and also guides us on testing to assure the security of our infrastructures.

建筑行业标准灵活，但安全

通过这些主题，我们作为一个行业，可以确保我们的资产是安全的，在需要时确定解决方案和需求，但更重要的是，从其他行业学习。然而，这是一种实现——那么标准呢?在铁路行业，我们利用互操作性标准，降低成本，并设定我们的行业轨迹。如果该标准不平等地考虑网络安全，那么实现可能是不安全的。当标准被开发和更新时，我们应该确保我们有足够的灵活性来适应，并确保标准使用最适当的可用解决方案。这包括使用经过验证的、可信的构建块，而不是开发定制的解决方案。ERTMS是一个典型的例子，说明了这种灵活性如何使新的安全解决方案被开发成标准，并通过新的基线逐步推广，解决其整个生命周期中必须抵御的网络安全挑战。

最后，我们还需要考虑我们的架构的安全性 - 特别是当我们有不同的系统时，不同的标准和要求在隔离中存在。With the mix of old and new assets, we need to set a baseline of what is acceptable, define the trajectory of what ‘good’ should look like and develop continuous improvement processes to review, monitor and understand the cyber-security of the system as a whole. Cyber-security has a critical role now in the rail sector as we undergo our digital transformation. Security and safety now co-exist, where an exploited vulnerability can have a serious effect on the safety of the system. We have the opportunity as a sector to lead in developing good practice, through our standardisation efforts, and working together to define what effective cyber-security and the future looks like for our digital railway.