當?shù)貢r間11月25日,歐盟網(wǎng)絡和信息安全局-ENISA發(fā)布了一份題為《Railway Cybersecurity – Good Practices in Cyber Risk Management 》的報告,詳細介紹了鐵路組織網(wǎng)絡風險管理的最佳實踐。ENISA說,歐洲鐵路企業(yè)(RUs)和基礎設施管理人員(IMs)需要以系統(tǒng)的方式應對網(wǎng)絡風險,這是其風險管理過程的一部分。自2016年網(wǎng)絡和信息安全(NIS)指令生效以來,這一需求變得更加迫切。該報告的目的是為歐洲RUs和IMs提供關于如何評估和減輕網(wǎng)絡風險的適用方法和實例。
ENISA和歐盟鐵路局于2021年3月組織了一場關于鐵路網(wǎng)絡安全的虛擬會議。會議持續(xù)了兩天多時間,聚集了來自鐵路組織、政策、行業(yè)、研究、標準化和認證的600多名專家。參與者投票的最熱門話題之一是鐵路網(wǎng)絡風險管理,這也是ENISA進行最新研究的動機。提出的最佳實踐正是基于鐵路利益相關者的調研反饋。它們包括基于行業(yè)標準和良好實踐的工具,如資產(chǎn)和服務列表、網(wǎng)絡威脅場景和適用的網(wǎng)絡安全措施。這些資源可作為鐵路公司網(wǎng)絡風險管理的基礎。因此,它們旨在成為一個參考點,促進整個歐盟鐵路利益相關者之間的合作,同時提高對相關威脅的認識。
報告指出,鐵路信息技術(IT)和運營技術(OT)系統(tǒng)的現(xiàn)有風險管理方法各不相同。對于鐵路IT系統(tǒng)的風險管理,引用最多的方法是國家一級的NIS指令、ISO 2700x系列標準和NIST網(wǎng)絡安全框架的要求。
圖1:風險管理的六個步驟
對于OT系統(tǒng),引用的框架是ISA/IEC 62443, CLC/TS 50701,以及Shift2Rail項目X2Rail-3的建議,或CYRail項目的建議。
這些標準或方法通常以互補的方式使用,以充分解決IT和OT系統(tǒng)的問題。IT系統(tǒng)通常采用更廣泛、更通用的方法(如ISO 2700x或NIS指令)進行評估,而OT系統(tǒng)需要為列車系統(tǒng)設計的特定方法和框架。
ENISA表示,目前還沒有統(tǒng)一的鐵路網(wǎng)絡風險管理方法。參與這項研究的利益攸關方表示,他們結合上述國際和歐洲方法來解決風險管理問題,然后用國家框架和方法對其進行補充。
對于RUs和IMs來說,管理網(wǎng)絡風險,確定需要保護的內容至關重要。該報告強調了五個關鍵領域:涉眾提供的服務、支持這些服務的設備(技術系統(tǒng))、用于提供這些服務的物理設備、維護或使用這些服務的人員以及所使用的數(shù)據(jù)。
該報告還審查了可用的威脅分類,并提供了一個可用作基礎的威脅列表。報告將鐵路系統(tǒng)面臨的威脅分為五個大類,即災難(自然環(huán)境),信息或IT資產(chǎn)的意外損壞/丟失物理攻擊(故意/故意),失敗/故障,中斷,惡意活動/濫用。每個威脅屬于一個類別,適用于一個或多個鐵路資產(chǎn)。這種分類已在圖2中以圖形形式表示,附錄B中對這些威脅進行了更詳細的描述。
圖2 鐵路系統(tǒng)面臨的威脅分類
報告還分析了網(wǎng)絡風險場景的實例,有助于鐵路利益相關者進行風險分析。它們展示了如何將資產(chǎn)和威脅分類一起使用,并基于部門的已知事件和研討會期間收到的反饋。每個場景都與相關的安全措施列表相關聯(lián)。該報告包括來自NIS指令的網(wǎng)絡安全措施、當前標準(ISO/IEC 27002, IEC 62443)和良好實踐(NIST的網(wǎng)絡安全框架)。報告列出了七個典型的威脅場景:
場景1:破壞信號系統(tǒng)或列車自動控制系統(tǒng),導致列車發(fā)生事故
場景二:破壞交通監(jiān)控系統(tǒng),導致列車交通中斷
場景3:勒索軟件攻擊,導致運營中斷
場景4:從票務管理系統(tǒng)竊取客戶的個人數(shù)據(jù)
場景5:由于不安全、暴露的數(shù)據(jù)庫導致敏感數(shù)據(jù)泄漏
場景六:DDoS (Distributed Denial of Service)攻擊,阻止旅客購票
場景7:災難性事件破壞數(shù)據(jù)中心設施,導致IT服務中斷
在第五章風險應對措施中,給出了相應的風險處置模型框架。一旦根據(jù)風險評估標準確定了風險并對導致這些風險的事件場景進行了優(yōu)先級排序,就應該通過風險處理計劃對其進行處理。關于風險處理,人們通常提出四種選擇:風險調整、風險保留、風險規(guī)避和風險分擔。
風險修改:通過引入、移除或改變控制來修改風險的級別,以便重新評估剩余風險為可接受的
風險自留:在風險水平符合風險接受準則的情況下,不采取進一步行動而接受風險
風險規(guī)避:就是避免增加特定風險的活動或情況
風險分擔:就是與能夠最有效地管理某一特定風險的另一方共同承擔風險
報告的結論部分認為,必須強調在應用這些方法時所面臨的挑戰(zhàn)。最重要的是,鐵路組織缺乏一致的網(wǎng)絡風險管理方法,以統(tǒng)一的方式涵蓋IT和OT。
IT與OT風險管理方法。在鐵路部門區(qū)分IT和OT越來越困難,網(wǎng)絡風險管理的離散方法和分類使得這個問題更具挑戰(zhàn)性。在許多情況下,要確定哪種方法更適合,設備是否可以被認為是IT或OT,或者應該采用哪種安全措施和標準,可能是一個復雜的過程。在網(wǎng)絡風險管理方面擁有一個更加結構化和統(tǒng)一的方法,將有助于該行業(yè)的協(xié)調,從而促進鐵路生態(tài)系統(tǒng)不同實體之間的風險討論。它還可以與該部門的供應行業(yè)進行更多的合作。
更好地協(xié)同和協(xié)調最佳實踐。未來的工作可以包括進一步協(xié)調具體行業(yè)分類,并就最佳實踐的應用提供更多指導。在任何可能的情況下,進一步的標準化都可以進行,因為這也是鐵路供應行業(yè)的要求,該行業(yè)主張在歐盟層面建立更多的認證機制。重要的行業(yè)挑戰(zhàn)仍然存在,包括供應鏈的網(wǎng)絡風險管理。這可以通過在相同的網(wǎng)絡風險管理要求下涵蓋整個鐵路生態(tài)系統(tǒng)的監(jiān)管方法加以補救。目前,鐵路供應鏈的關鍵要素,無論是IT還是OT,都不屬于同一個歐洲監(jiān)管框架。
更新鐵路系統(tǒng)和網(wǎng)絡風險評估。該行業(yè)特有的另一個重大問題是遺留系統(tǒng)過多,這給管理網(wǎng)絡風險增加了額外的難度。目前,還不可能提供相關建議來解決鐵路部門遺留系統(tǒng)的網(wǎng)絡安全問題。有必要讓鐵路工業(yè)參與這樣的工作。此外,即使是新開發(fā)的系統(tǒng),也需要確保風險評估的結果保持最新,持續(xù)監(jiān)控風險,并且安全級別保持足夠合理。積極面對鐵路系統(tǒng)面臨的最新威脅可能是朝著這個方向邁出的一步。