铁路网络安全:开启安全数字化之旅

高效、互联、可持续:数字化铁路建设是否对乘客更有吸引力、更方便运费交通工具。然而，持续的数字化也使铁路运输面临新的网络安全威胁。如今，“欧洲制造”的智能轨道交通的特点是安全水平非常高。但是，在未来，通信网络、数字化流程、人工智能(AI)和大数据的产生将带来新的复杂性，这就需要新的网络安全水平。随着世界其他地区在信息技术领域日益占据主导地位，欧洲必须确保其作为清洁和智能移动市场领导者的地位，以及其数字主权。为了开启安全的数字化之旅，欧盟及其成员国必须抓住机遇，实现安全的“铁路4.0”。

数字化带来了铁路运输的新时代，但同时也带来了必须应对的新挑战。移动智能联网对数据保护的要求更高。闭路电视、传感器监控和移动应用程序收集大量数据，从而暴露出大量敏感和个人信息，可能会加剧滥用。此外，来自黑客、有组织犯罪或情报机构的网络攻击可能以工业和经济间谍活动的数据完整性为目标，或旨在瘫痪部分网络、破坏安全系统，甚至接管远程控制权。网络操纵可能会影响经济，并在紧急情况下危及铁路乘客。铁路运输的中心部分是一个关键的基础设施(CRITIS)，因为系统的故障或中断将导致严重的供应瓶颈，甚至威胁到公共安全。

“铁路4.0”没有强大的“欧洲制造”安全系统，会产生大量依赖。那些不再充分理解自己的CRITIS的人注定会失去数字主权。因此，“铁路4.0”的技术控制必须留在欧洲。这必须成为欧盟的一个关键安全优先事项。移动领域的网络安全和数据保护必须建立在两个不可分割的支柱上:技术支柱和政治支柱。

通过技术创新保障网络安全

越来越多的敏感和个人数据的永久互联、生成和存储，使铁路网络容易受到全新的威胁。网络包含数千个字段元素。潜在的弱点包括:主动网络组件，如路由器、交换机和接入点;无线电通信，例如Wi-Fi和移动通信;以及远程访问，软件和可编程逻辑控制器。这些潜在的安全和安保问题可以通过三个步骤来解决:预防、检测和反应。

首先，预防的关键要素是“设计安全”和“默认安全”。设计安全性侧重于产品设计过程中的安全方面，从而节省时间和资源，有助于降低风险并避免有效网络攻击的成本，而默认安全性则侧重于嵌入式安全性，这意味着默认配置设置是最安全的设置。有效的预防措施不仅依赖于技术解决方案，还需要明确的流程和职责定义，以及员工和客户对网络安全威胁的广泛认识。

其次，每一种网络安全方法都包括有效的检测系统，在威胁传播之前识别和隔离威胁。在这里，系统容易打补丁是至关重要的，因为铁路系统可能会保持运营20年或更长时间。第三，在最后一步中，通过消除安全漏洞和在必要时提供软件更新来确保充分的反应。

欧洲通过数字主权实现网络安全

尽管网络安全是一项技术挑战，但它也必须被视为一项政治优先事项。具有战略意义的铁路部门的网络安全是欧洲经济和政治主权的重要基础。如果在技术上失去对网络防御能力的控制，欧洲将陷入战略依赖。疫情表明，欧洲必须把战略利益掌握在自己手中。政策制定者必须通过以下措施进一步发展欧洲安全数字移动的核心竞争力:

1.制定网络安全战略，“铁路4.0”

欧盟应召集一个综合专家委员会，为未来的智能铁路机动性制定一个连贯的网络安全战略，即“铁路4.0”。政策制定者、运营商、铁路行业以及监管机构必须在共同责任下，更加系统地预测和应对交通数字化和自动化带来的社会挑战。欧盟必须促进年轻专业人员的研究和培训，为未来的数据平台和通信网络制定高标准，并让欧洲相关行业参与进来，使开发、生产和运营过程更具弹性。“铁路4.0”的网络安全战略必须在欧洲层面协调，并由欧盟成员国一致实施。

2.在公共采购中考虑网络安全

网络安全必须在公共采购中始终占有更大的权重。此外，欧洲附加价值应在与批评相关的招标中发挥至关重要的作用。在欧洲，根据欧盟数据保护法，个人数据必须在固定的时间内删除。对于非欧盟国有企业收集和分析的数据，无法保证同样程度的透明度。如果非欧盟国有企业(SOE)为我们的智能移动提供技术，在欧洲收集的欧洲公民的数据是否可以存储在第三国?这是否造成了旅客人身权利保护的空白?在涉及公共铁路采购时，必须公开讨论这些民法问题。

3.加强“欧洲制造”的网络安全

欧盟委员会(EU Commission)建议，非欧盟国有企业收购欧洲公司对critical铁路网络安全可能产生的重大影响，必须成为对外国直接投资(fdi)进行非歧视审计的一个方面。

铁路数字化可以成为欧洲未来20年的成功故事。德国铁路工业协会(VDB)随时准备支持欧盟作为安全可靠的铁路数字化的优秀合作伙伴。这是“欧洲制造”的智能和清洁出行的典范。