E安全1月27日讯 铁路是欧盟经济发展的关键,铁路的存在使货物和旅客能够便捷地在国内和欧盟境内跨境运输。ENISA近日的《铁路网络安全》报告分析了在每个欧洲成员国在执行NIS指令的背景下,欧洲铁路部门网络安全措施的实施水平。
该研究报告提供了一个完整的基本铁路服务清单,并对其支持的铁路系统进行了详细的概述。最后,介绍了欧洲铁路交通管理系统以及一些关键的网络安全挑战和建议。
根据ENISA的《铁路网络安全》报告,欧洲境内当前存在的网络安全挑战如下:
1、铁路行业的网络安全意识较低
2、铁路安全与网络安全难以协调
3、铁路核心业务数字化转型
4、在网络安全上依靠供应链
5、铁路基础设施遗留系统的存在
6、需要平衡安全和运作效率
7、网络安全法规的复杂性和缺乏统一性
01、铁路行业的网络安全意识较低
总的来说,铁路行业员工对网络安全的意识仍然很低,基本服务经营者报告称,随着针对铁路部门的网络事件的增加和公开化,铁路行业员工对网络安全的意识正在缓慢提高。例如,在“NPetya”攻击之后,铁路行业的网络安全团队的数量开始增长。
02、铁路安全与网络安全难以协调
在铁路行业,安全的重要性是不容置疑的。每次更新网络安全政策时,铁路行业的安全团队都需要确保安全机制保持统一,而这会导致铁路安全和网络安全人员之间的关系更加复杂。铁路安全与网络安全团队各自有相对独立的要求,会造成彼此间的相互矛盾。
例如,在管理网络安全的系统更新的情况下,过时的IT组件仍可能获得最高安全级别的认证。这表明,铁路安全与网络安全之间的需求差异不仅体现在技术层面,也体现在治理层面。
03、铁路核心业务数字化转型
大多数铁路基本服务经营者目前正在进行数字化转型,大量的IT和IOT操作技术设备被引入铁路系统,但相应的采购、使用与管理较为匮乏。这些变化导致了新的网络安全漏洞。
在操作领域,网络资产、网络连接设备、软件开发应受到更多的重视。像IT系统一样,操作技术系统应该提供监控、监督和管理工具,甚至是嵌入式工具。此外,新的操作技术系统应该在设计上整合铁路安全和网络安全要求。
04、在网络安全上依赖供应链
铁路基本服务经营者报告称,他们在系统更新、补丁管理和生命周期管理方面严重依赖于供应商和其他第三方(其中包括云服务供应商)。每个供应商可采用独立的技术来满足功能需求,而这将导致标准化的形成更加困难。
由于每个供应商对网络安全的需求和相关技能的认知各不相同,这导致操作技术系统中不同级别的网络安全难以统一。此外,NIS指令中没有针对供应商的规定,因此供应商在应用网络安全方面没有严格的法律标准。
05、铁路基础设施遗留系统的存在
铁路基础设施主要分布在各大城市之间,在这些地区,铁路系统和网络的关键节点需要最大的可用性,而在农村地区,保护和维护这些系统需要大量的经济成本。
此外,信息管理系统和铁路事业的管理存在许多遗留或过时的系统,为了实施网络安全措施,这些系统很难甚至进行升级。一些制造商甚至失去了升级这些系统的技术。
过时的操作技术要求程序、政策和人为干预补丁与更新,以确保足够的网络安全级别。新系统的生命周期管理更应涵盖网络安全,并应加以规划和预期。
06、平衡安全和运作效率
铁路运输是一项公共服务,服务经营者必须保持票价尽可能低,否则旅客会选择其他交通方式。然而,与此同时,铁路服务经营者必须实施成本高昂的网络安全措施,且不能通过提高火车票价格来增加其收入。因此,铁路服务经营者在为网络安全项目预算时经常遇到重大的经济成本问题。
铁路需要信息管理系统在全国范围内进行投资,这些投资也需要由服务收入提供资金。相比之下,水运或航空运输不需要在整个领土内投资。
此外,加强信息管理系统的安全性可能会使数据流和系统变得复杂,如果出现任何问题(例如证书过期),可能会严重影响系统性能与可用性。
07、网络安全法规的复杂性和缺乏统一性
对于一些铁路运营商来说,理解法律条规,尤其是NIS指令,可能很困难。一些报告指出,除了NIS指令之外,运营商还必须遵守欧盟内其他国家法律,如国家安全或关键基础设施法律。然而,此类法律法规应在整个欧盟统一,因为在多个管理系统中运行的运营商通常需要面临不同的合规要求。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。