★ 鐵路網路安全是一個複雜的環境

Klacci 凱樂奇交通運輸業解決方案

（請點擊 ↑ 連結詳細介紹）

鐵路行業的首席資訊安全官，必須保護比大多數行業更古老、更複雜的基礎設施。以下是一些獨特、高風險的挑戰。

鐵路仍然是最受歡迎的交通方式之一。在典型的一年裡，美國貨運鐵路在近 14 萬英里的軌道上，移動了約 16 億噸。2021 年，美國公民乘坐鐵路旅行超過 125 億公里。數千條鐵路 —— 從國家和區域網路到城內輕軌 —— 已經建成，以連線該國及其行業，使鐵路成為國家經濟的關鍵組成部分。

鑑於數量龐大，並鑑於為鐵路設計的少數可用網路安全工具，對目標鐵路的吸引力是顯而易見的。

考慮一下，如果網路威脅行為者決定在疫情中，中斷救命藥品的交付，或者民族網路力量將彈藥運往美國陸軍軍事基地，會發生什麼。

安全與保全

鐵路網路安全與傳統企業網路安全的挑戰源於裝置的數量和複雜性以及關鍵網路的數量 —— 鐵路網路的規模大，端點裝置的數量，不同網路（SCADA，鐵路，常規 IT，專用 IT，如票務等）的數量，以及大多數系統無法修補的事實。此外，大多數鐵路基礎設施，已有 30 多年的歷史，更換成本高昂。

鐵路基礎設施是為安全而設計的，這一事實使其與網路安全保護直接衝突。原始裝置製造商（OEM）（龐巴迪、西門子等）已將軟體系統設定為嚴格的標準，如果內部軟體以任何方式發生變化，OEM 可以撤銷其安全認證，使整個鐵路網路無法執行。

此外，即使是一輛火車車廂，也有巨大的威脅面，不容易保護。汽車的公共 Wi-Fi 和娛樂網路，可以輕鬆連線控制暖通冷氣機、剎車、門和消防裝置的營運網路；訊號系統可能會完全停止火車，導致與後面的火車發生碰撞；最後，遠端訪問 OEM，用於定期預防和預測系統維護。

記住依賴第三方供應商，帶來的漏洞也很重要，第三方供應商與鐵路的連線，可能會導致鐵路關閉。2022 年 10 月，丹麥鐵路網的第三方雲提供商遭到破壞，作為預防措施，整個鐵路需要關閉。最近，芝加哥貝爾特鐵路公司面臨勒索軟體攻擊。

簡而言之，當你考慮鐵路網路中潛在的漏洞數量時，這非常令人生畏。

TSA 和鐵路網路安全

可以理解的是，2021 年 12 月，運輸安全管理局（TSA）更加關注基礎設施網路安全，釋出了第一套鐵路安全指令，事實證明這太繁重了。不到一年後，即在 2022 年 10 月，TSA 將其建議更新為鐵路安全指令1580/82-2022-01，以使鐵路更容易遵守。

TSA 指令目的在「透過實施提供深度防禦的分層網路安全措施，降低網路安全威脅對關鍵鐵路營運和設施構成的風險。」該指令規定，鐵路必須向 TSA 提供年度網路安全計劃，以供批准；然後將根據其合規性對鐵路進行評估。

由於鐵路系統的複雜性和陳年老舊，鐵路系統比大多數其他行業（包括其他運輸部門，如 TSA 也監管的航空）面臨更大的挑戰。數位連線和裝置隨著時間的推移而成長，推動了該行業進行數位化轉型。數百種不同的技術和不同的系統，以獨特的方式相結合，以保持鐵路的執行和客戶滿意。不幸的是，它也擴大了攻擊面。

在安全方面，曾經對鐵路來說已經足夠了，事實上卻是不再足夠了，正確掌握細節是真正的安全所在。鐵路必須對其系統具有充分的可見性，包括相互依賴性、與這些網路的外部連線、區域定義和網路分割政策，以更好地瞭解資產和快速事件反應處理。此外，跨區域的通訊必須得到控制和保護，以確保系統完整性，並防止機車車輛在運輸過程中發生損害。

必須根據關鍵性、後果和操作必要性，對一切事項進行優先排序 —— 例如，當系統被攻破或漏洞被發現時，直接的危險在哪裡，以及可以等待解決措施的地方在哪裡。

系統的龐大和複雜性，使傳統的網路安全解決方案，難以幫助鐵路完全遵守 TSA的要求。

保持正軌

甚至要開始遵守 TSA 指令，鐵路必須在鐵路的每個方面（OT、IT、物聯網等）執行網路分割、子分割和資產分割槽，以發現外部連線和營運相互依賴性。發現和消除系統內的盲點，需要投入大量時間和資源，並對鐵路基礎設施有深入瞭解。

在所有未知數已知後，鐵路需要能夠驗證每個數位互動，以確保每個資產都是安全、可靠的，並且在不影響安全、安全或標準操作的情況下執行，或冒著 OEM 取消認證的風險。

預防和減輕網路攻擊是每個 CISO 的責任。管理複雜性是任何 CISO 職責的固有部分；正是複雜程度使鐵路 CISO 的工作特別具有挑戰性。

像大多數企業一樣，鐵路需要保護其關鍵系統免受網路攻擊。這包括透過管理惡意 Web 域的影響、阻止和防止未經授權的程式、建立命令和控制系統的訪問管理策略，以及實施標準操作程式（如自動化安全補丁和更新、資料保留和分析）來控制內部和外部威脅，以便能夠隨著時間的推移調查威脅。

願負責你下次通勤的 CISO 具備必要的網路安全工具，以實現合規性，並讓你安全到達目的地。