铁路为网络攻击做好充分准备了吗?

在英国铁路的生命周期中，网络攻击对于铁路行业来说是一个非常新的风险，需要作为其风险评估的一部分来考虑。在机械技术的时代，显然不存在这个问题(“网络”这个术语也不存在)。随着铁路工业转向电力系统和继电器为基础信号，这个问题仍然不存在。然而，在那个阶段，数字形式的数据传输正在悄然开始。第一个基于处理器的多路复用数据系统出现在非安全关键角色，但仍然对操作至关重要。

20世纪80年代中期的固态联锁(SSI)是工业向基于处理器的安全系统迈出的第一步。安全是一个公认的问题。技术人员的终端是一个有用的审讯设施，但也提供了一些修改数据的权限。最初，终端接入只能通过物理连接，并位于SSI隔间旁边，但不久之后，远程查询联锁的便捷性导致了调制解调器链路的引入。

“外部”和“内部”事件

虽然网络攻击显然是当今的一个问题，但同样重要的是要记住，基于软件的系统在设计阶段和后来引入更改时也容易出错。因此，第一个信息是，虽然网络安全不能掉以轻心，但它不是引发严重事件的唯一途径。如果我们认为网络攻击是系统上的“外部”事件，而软件错误是“内部”或自己造成的事件，我们可以将软件(IT)系统风险与旧技术进行比较。

铁路上的外部事件随时都在发生。它们有可能影响系统上的所有功能和位置。信号设备通常被保护在带有挂锁和栅栏围栏的安全门后面，现在这是系统运行所需的任何建筑物周围的正常特征。这些物理特性相当于IT系统中的防火墙和密码。

同样，就铁路上的自我造成的事件而言，也有一些由工作人员但偶尔也会有工作人员故意破坏铁路。幸运的是，这种情况非常罕见，但被认为是最难防范的风险之一。

信息技术(IT)和操作技术(OT)

在网络行业中，术语IT和OT用于指信息技术(IT)和操作技术(OT)。对我来说，这将容易受到网络攻击的部分与不容易受到网络攻击的部分区分开来。因此，我发现表1对铁路长期存在的风险类型和新出现的风险类型进行了有用的比较。

查看表1中OT世界外部事件的比较，可以明显地看出网络攻击是IT世界外部事件的重要组成部分。当涉及到一名员工恶意破坏系统时，自己造成的事件和外部事件之间的界限模糊。无论你把它归类为内部事件还是外部事件，它通常都是最需要防范的问题类型。然而，这种类型的风险也有一种非恶意的版本，即当一名工作人员未锁定或打开安全功能，从而允许外部人员进行攻击时。这种事件类型通常是由于没有遵循程序而使系统容易受到攻击。

表1 -铁路信息技术(IT)和运营技术(OT)风险类型的比较

我们如何减少和减轻这些类型的风险?

我们可以编写详细的程序来涵盖每种情况，但错误和遗漏可能发生。因此，作为一个行业，我们必须考虑当事件发生时如何应对——是在OT还是it系统上，是由内部原因还是外部原因造成的。

当破坏性事件发生时，我们有什么应急计划?

我建议应急计划需要分为两个阶段;遏制和恢复。在铁路方面，我们有丰富的防控和治理经验。信号员接受过识别故障症状和确定故障范围所需的行动方面的培训。在控制了问题之后，他们可以确定哪些设备可以依赖于正常工作，哪些设备可以假定为故障。

恢复工作通常需要工作人员参与、评估和修复损坏。与此同时，铁路的运营也在进行调整，直到设备完全投入使用。技术人员和操作人员都有多年来制定的规则和程序要遵循。这些有助于确保铁路在退化运营期间以及在调查和维修期间的安全。

当IT系统出现缺陷时，同样的逻辑应该适用。遏制和恢复仍然是需要遵循的原则。然而，我们没有多年的经验来作为这些程序的基础。最近一个系统故障对网络造成影响的例子是，人们发现寒武纪的临时速度限制不起作用ERTMS区域。很快出现的问题包括是否有适当的培训或程序来指导他们?如何控制似乎影响整个ERTMS部署的问题?哪些设备应被视为有缺陷，哪些设备可以信赖?技术人员如何调查和纠正这样的缺陷?这就是为什么铁路行业正在研究铁路事故调查处(RAIB)的建议，并将作为这一研究的一部分，实施最佳实践。

这个例子不是网络攻击的结果，但我们管理铁路的方式是相同的，无论事件是由内部或外部来源引起的。从业务风险的角度来看，我们需要以某种方式比较来自所有来源的风险，以帮助我们确定工作的优先级。毫无疑问，网络攻击有可能造成重大破坏，但天气或露水也一样。

总结

尽管网络威胁是真实存在的，但它们并不总是恶意攻击，也不是所有的安全技术都能阻止。铁路行业需要应急计划来帮助控制和恢复此类事件，就像他们对其他铁路事件所做的那样。从业务风险的角度来看，奥尔鼓励铁路行业判断这一风险与行业内已经存在和将继续存在的所有其他风险相比有多大，并管理可能影响安全或性能的风险。