为下一代移动性建立网络安全

轨道交通数字化是轨道交通不断高精尖、不断完善和不断提升模式竞争力的重要杠杆。它改变了铁路部门处理基础设施和公共交通的方式，特别是从运营的角度来看。行业对数字安全的日益关注也提高了互操作性的潜力。实施网络安全要求是行业数字化改善和弹性的基础。

欧洲铁路供应行业认识到，减轻网络威胁对维护安全、可靠的铁路和公共交通至关重要。考虑到现有的各种复杂的相互依赖关系，并将老化的基础设施元素整合到数字交通生态系统中，这不是一项容易的任务。为了使移动系统有效运行并充分利用互联的数字环境，实施全面的网络安全技术和协议是一个先决条件，否则可能会产生严重后果。保持业务连续性标准是整个铁路部门的共同目标。

欧洲联盟网络安全机构(ENISA)的关键作用

《网络安全法案(2019年)》加强了ENISA，并授予该机构永久授权。这一发展使它获得了更多的资源，并通过为特定的认证方案准备技术基础，在建立和维护欧洲网络安全认证框架方面发挥了关键作用。该机构致力于通过增加利益相关者的价值、业务合作、加强旨在避免碎片化的政策，以及支持应对网络威胁的能力建设，使社区获得足够的网络安全。

此外，ENISA还将铁路部门纳入了他们的战略建设，发布了一些相关研究——比如铁路网络安全报告(2020年11月发布)——就包括铁路在内的威胁状况报告等主题开展公众磋商，并召集铁路业界在一个特定会议上讨论该行业的主要挑战。

网络安全:欧盟最紧迫的优先事项之一

随着数字技术继续在现代生活中发挥着无处不在的作用，以及在遭受WannaCry等新型网络攻击后，欧盟已优先加强整个欧盟的网络安全，以确保公民和关键基础设施得到保护和恢复。在政策方面，提出了一些倡议，例如:欧盟的网络安全策略,网络安全法案，提案为一网络与信息安全指令(NIS2)和其他人。由于网络安全无国界，网络威胁不断演变，该立法套件旨在以统一的方式深化整个欧盟的网络安全。

考虑到这些事态发展，联合国铁路交通论坛制定了一份关于铁路运输网络安全的新立场文件，敦促会员国在寻求增强实现网络弹性所需的更大网络安全措施时避免碎片化，网络弹性对实现业务连续性至关重要。该协会实现这一目标的六大战略支柱是:通过CEN CENELEC实现标准化;欧盟层面的法律架构;铁路部门利益相关者之间的合作;对研究和创新的投资;监测最新趋势;考虑到铁路部门的特殊性。

短期高度优先的挑战和建议

在我们最近的立场文件中，欧洲铁路行业联盟指出虽然前面有一些挑战，但可以采取一些短期步骤来实现这一目标。首先，铁路网络安全的主要里程碑是最近由CENELEC TC 9X WG 26开发的《铁路应用技术规范CLC/TS 50701 -网络安全，包括信号、铁路车辆和固定装置》。本文件旨在为建立统一的网络安全操作标准提供基础。《网络安全法》加强了ENISA的授权，授权该机构在欧盟层面开发网络安全认证方案，提供进行符合性评估的标准，以确定产品、服务和流程符合特定网络要求的程度。新的CLC/TS 50701应作为建立铁路信息和通信技术产品、服务和流程统一认证体系的基础，因为这是消除短期障碍的最有希望的方法。在第二阶段，联合国电子会议建议向各公司介绍CLC/TS 50701，然后在国际电工委员会(IEC)上作为一项潜在的国际标准加以推广。提高铁路利益相关者和网络安全专家对迫在眉睫的挑战的认识是必要的，因为这将允许该部门满足这些标准，并正确地应用它们，以同样的方式在整个欧洲铁路网络促进互操作性和建立单一欧洲铁路区。

随着欧洲采用越来越多的数字化解决方案，面对越来越多的潜在网络威胁，政策和监管框架也在迅速变化，以应对欧洲面临的机遇和挑战。有几项立法倡议将网络安全问题合法化，然而，这些倡议必须得到协调，以避免监管碎片化、重叠、相互冲突的要求对欧洲铁路利益相关者造成限制。

由于网络攻击往往具有跨国性质，欧洲的网络安全需要整个欧盟的合作。所有铁路工作者需要共同努力，了解该行业面临的最新威胁。欧洲铁路信息共享和分析中心(ER-ISAC)是所有欧盟成员国部门参与者的可用资源。其独特的合作立场使其成为共享和评估行业网络安全优先事项的有利平台，显著改善我们的集体网络安全工具箱。虽然利用中心是朝着正确方向迈出的短期步骤，但我们必须永远保持这个统一战线。

在整个供应链中实施共同的网络安全措施将大大减少该行业在数字空间中的脆弱性。NIS2旨在确保该地区适当水平的网络安全。供应链攻击多年来一直是网络安全专家关注的问题，因为攻击一家供应商所引起的连锁反应可能会危及整个供应商网络，并危及它们的竞争力。统一的方法将需要更少的资源，降低公司寻求建立一个新的网络安全框架的成本。

实现必要程度的弹性的最重要因素之一是增加对网络安全研究和创新的投资。网络威胁持续快速发展，能够逐步形成更普遍的破坏，但新的和有效的网络防御技术的增长速度相当慢。随着网络犯罪分子部署越来越复杂的攻击技术，并利用前所未有的资源和全球范围进行犯罪活动，威胁和防御之间的差距扩大了。在这种背景下，有必要减少技术的上市时间，作为一种快速使创新的网络防御方法更广泛地用于对抗敌对元素的手段。即使今天“地平线2020转移t2rail联合项目”正在为铁路信号子系统研究新的网络安全发展，引导更多投资于“地平线欧盟”和未来“欧洲铁路联合项目”所执行的研究和创新举措，也将有助于铁路部门的转型

最后，应评估铁路部门网络安全的特殊性，以确保其建立正确的保护程度。在整个系统的生命周期中，维持可接受水平的网络安全所需的组织和技术措施对铁路部门至关重要。操作技术系统通常基于安装时的安全参数，但由于其生命周期长，从网络安全角度来看，很快就会被认为过时或过时。主要的挑战是成功地定义补丁管理流程，使其能够在安全的条件下进行灵活、精简的维护，而不损害系统的安全性。这对于轨道车辆的维护尤为重要。此外，遗留系统是轨道交通的另一个独特特点。为了满足新的网络安全措施，需要对这些系统进行适当的风险接受和评估。密码学必须被视为网络安全的支柱，以确保机密性、完整性和认证。

已经确定了几个中期和长期优先事项

联合国非洲生活基金会的最新立场文件强调了众多中长期优先事项，为整个欧盟更严格的网络安全提供了机会。首先，欧洲铁路供应行业需要建设其IT基础设施，以达到“量子安全”的地位。这必须在量子计算普及之前实现。实现某种程度的“加密-敏捷”将是实现这一目标的关键。此外，在铁路运输中使用的所有新技术中纳入严格的网络安全标准，对很快建立一个更安全的系统(即人工智能)至关重要。
在我们行业的案例中，确保下一代系统的整个产品生命周期意味着所有项目从一开始就使用CLC/TS 50701方法论来开发“设计安全”。虽然每一种交通工具都有自己的标准和认证方案，但为了确保这种可互操作的移动性，未来的技术发展需要它们都与NIS2指令的提议保持一致。

总之，欧洲铁路部门今天面临着许多挑战。然而，欧洲铁路供应行业的主要建议是在铁路部门推广和实施TS 50701，以避免铁路部门的网络安全标准碎片化——这个统一的标准必须用作ICT认证体系。不同利益相关方之间的合作对于评估和应对新出现的网络安全挑战至关重要。此外，对研究和创新的投资对我们努力超越目前最先进的网络安全方法至关重要。考虑到铁路部门的特殊性，例如其高水平的监管和源自遗留系统的组件的长生命周期特征，该领域的所有参与者必须意识到我们日益增长的数字资产缺乏安全性带来的危险，并协调我们在整个欧洲共享的网络安全战略。