Firmy a technologie

Kyberbezpečnost na železnici: jak zůstat na správné koleji

17 min. čtení

Železnice čelí novému přílivu kybernetických hrozeb. Útoky tak mohou mít dopad i do reálného světa – například v podobě zdlouhavých zpoždění důležitých spojů.

Vlaky jsou strategickými prvky státní infrastruktury.  Zejména se to týká USA, které mají nejdelší celkovou železniční síť na světě. Ačkoli je většinou využívána v rámci nákladní dopravy, poskytuje přibližně 167 000 pracovních míst.

Jako dědictví průmyslové revoluce přinášejí vlaky výhody ve formě efektivnější logistiky. Mimo jiné jde o nižší náklady na dopravu i snížení dopravního zatížení silnic. Mnohé z těchto výhod však byly v posledních pěti letech stále více v ohrožení, protože kybernetické útoky na železnice vzrostly přibližně o 220 %. Železniční systémy v místech, jako je Ukrajina nebo Polsko, procházejí také testem. Hackeři totiž nutí provozovatele zabezpečovat jejich postupně digitalizované systémy, což zvyšuje sbližování OT a IT a umožňuje snazší přístup k vlakovým a železničním řídicím systémům.

Klíčové body tohoto článku:
  • Nedávná upozornění týkající se kybernetické bezpečnosti, kybernetické útoky na citlivé železniční systémy a průmyslový malware zdůrazňují zranitelnou povahu železnice.
  • Zastaralé protokoly, rámce a zařízení představují nové riziko v prostředí, které často kombinuje více než stoletou infrastrukturu s moderními digitálními řídicími systémy, jejichž překryv vytváří útočníkům zneužitelný přístup.
  • Modernizace je bohužel nákladná a ztížená byrokracií v rámci železničního systému. To zpomaluje investice a oslabuje efektivitu dodavatelského řetězce i jeho bezpečnost.
  • Díky chytrému rozpočtu, který umožní strategicky přizpůsobené řízení rizik, mohou odpovědní manažeři pokrýt různorodé vrstvy železničních zařízení a protokolů (pomocí air-gappingu, zpravodajství o hrozbách anebo správou detekce a reakce MDR). Státní i soukromé instituce pak mohou bezpečněji přepravovat cestující i náklad.

Železnice: Ohrožené tepny země

Americká CISA (Agentura pro kybernetickou a infrastrukturní bezpečnost) vydala nedávno upozornění (ICSA-25-191-10) týkající se zranitelnosti v zařízení End-of-Train Device (ETD) a Head-of-Train Remote Linking Protocol, vlivem které by mohli útočníci „posílat vlastní příkazy koncovému zařízení vlaku pro řízení brzd, což může způsobit náhlé zastavení vlaku a vést tak k narušení provozu, nebo vyvolat selhání brzd.“

Zní to povědomě? Ano. V roce 2023 byli Polské státní dráhy oklamány prostřednictvím spoofingu. Hackeři zaslali neautorizovaný rádiový signál k zastavení vlaků na severozápadě Polska. Na 20 vlaků bylo příkazem zastaveno, což zmátlo železniční inženýry a dispečery železniční dopravy. Zdá se, že spoofing, v tomto případě imitace rádiové komunikace, byl proveden pomocí levného rádiového vysílače a umožnila to zastaralá infrastruktura železniční komunikační sítě.

Důsledky této zranitelnosti jsou dva. Za prvé, zařízení ETD je ze své povahy připojené k internetu a nevyhnutelně vystavuje vlaky riziku. Za druhé, rámce, které mají dohlížet na bezpečnost těchto zařízení, jsou zcela zastaralé. To není překvapení – modernizace kritické infrastruktury je obtížná a nákladná. Každá investice musí mít dlouhodobou životaschopnost, zejména pokud je hrazena nebo dotována státním orgánem.

Podle dat společnosti ESET je doprava celosvětově jedním z nejčastěji zasažených odvětví ze strany kyberútočníků. Zdroj: ESET APT Activity Report.

 

Když se však klíčové společnosti (výrobci nebo velké zemědělské firmy) a civilní i vojenská logistika spoléhají na železniční infrastrukturu, jsou vystaveny zásahům a sabotáži, což samo o sobě snižuje schopnost státu reagovat na krize. Pro kontext stačí vidět, jak důležitý je železniční systém na Ukrajině, kde obě strany bojují o kontrolu nad klíčovou infrastrukturou, aby si zajistily efektivní přepravu vojenského personálu, zásob a vybavení.

Email Icon

Nezmeškejte nic důležitého

Získejte přehled o trendech a novinkách ze světa kyberbezpečnosti.

ODEBÍRAT NOVINKY

Nákladná byrokracie

To, co činí bezpečnostní situaci železnic ještě horší (ve srovnání s jinými kritickými sektory, jako je výroba), jsou obtíže, kterým čelí v agilním řízení. Není žádná maličkost se znovu naučit pružně měnit kybernetickou bezpečnostní strategii v kontextu převažující regulace a životního cyklu železničních aktiv měřených na desetiletí, nemluvě o nízké viditelnosti do bezpečnostní situace dodavatelů. Stát se agilnějším nakonec znamená izolovat diskusi o bezpečnostní strategii od byrokracie, postupných změn a nedostatku rozpočtu k rychlému řešení provozních problémů. Provést to úspěšně znamená posouvat bezpečnost vpřed, aniž by došlo k narušení přepravy lidí a zboží.

Jako příklad se uvádí, že pouze 1,6 procenta německé železniční sítě je vybaveno zabezpečeným evropským vlakovým zabezpečovacím systémem (ETCS). Plán spolkové vlády je napravit to do roku 2040. Může to však být náročný úkol, protože by to vyžadovalo masivní výdaje a koordinaci mezi železnicí, souvisejícími průmyslovými odvětvími a německými spolkovými zeměmi, aby bylo možné efektivně přestavět celou síť — úkol, který čelí desetiletím nedostatečných investic, což vedlo k erozi služeb a infrastruktury.

Když náklady na aktivity kolem modernizace ETCS mezi lety 2018 a 2022 vzrostly dvojnásobně a přestavba stojí přibližně 337 000 € na vozidlo (v Česku) a v celém vozovém parku možná až 33 milionů £ (na základě britského odhadu přestavby souprav Thameslink Class 700), zabezpečení vlaků rozhodně není levné. Dotace samozřejmě mohou hrát roli, ale na stole stále leží miliony ve výdajích, které stále potřebují schválit (v závislosti na tom, kdo infrastrukturu vlastní) od mnoha úřadů. A to způsobuje stále další a další zpoždění.

Zajistit hladký provoz

Je zřejmé, že byrokracii nelze odstranit, pokud by státem provozovaná železnice neměla přímou kontrolu nad rozpočtem, který jí přiděluje vláda. I pro soukromé železniční dopravce vyžadují změny v provozu železničních sítí povolení na nejvyšší úrovni.

Z určitého pohledu to dává smysl. Počet železničních tratí je omezený a infrastruktura musí zůstat dostatečně flexibilní, aby nedošlo k narušení stávajícího provozu. U národních železničních společností musí jejich rozpočty také zapadnout do plánovaných ročních vládních výdajů, s přísnými alokacemi podle sektorů.

Jak vysvětlit důležitost kybernetické bezpečnosti na železnicích

Můžete se ptát, jak přesvědčit držitele rozpočtu o vašich bezpečnostních potřebách, když jsou vaše možnosti tak omezené? Odpovědi jsou jednoduché:

  • Prodejte bezpečnost jako národní prioritu: Protože železnice fungují jako klíčové body dopravy napříč zemí a s ohledem na to, jak důležité jsou železnice pro státy v konfliktu a krizi, musí držitelé rozpočtu pochopit, že zvýšení výdajů na bezpečnost za účelem modernizace chátrající a nezabezpečené infrastruktury musí být prioritou. Pokud je vše již od začátku navrženo tak, aby byly železnice zabezpečené, může být vedení klidné. Nebude muset čelit odpovědnosti z rukou premiéra nebo prezidenta za selhání provozu i během krize.

  • Údržba není jen o službě: Zatímco v některých leteckých společnostech je to běžná praxe, železnice musí vnímat výdaje na IT (včetně bezpečnostních modernizací) jako samostatnou položku ve svém ročním vykazování. Bezpečnost je stejně důležitá jako výměna dílů. Nedostatek obojího může v nejhorším případě vést ke ztrátě lidských životů.

  • Spolupracujte napříč odvětvími: Železnice jsou v některých ohledech důležitější než silnice. Dokáží přepravit obrovské množství zboží v relativně krátkém časovém rámci. Je tedy v zájmu společností i vlád tuto spolupráci udržet, protože následky špatného zabezpečení železnic mohou snížit průmyslovou produkci, poškodit zboží (jako potraviny, vojenské vybavení, díly atd.) a nakonec ovlivnit ekonomický výhled země.

  • Zdůrazněte compliance: Velkým faktorem jsou dnes kybernetické pojištění a regulace, které zejména v Evropské unii pod NIS2 (v Česku v Novém zákonu o kybernetické bezpečnosti) vyžadují komplexní řízení rizik v dopravním sektoru. Pokud nebudou základní entity v souladu s nařízeními, může následovat vymáhání – pokuta až 10 milionů € nebo 2 % z celkového celosvětového ročního obratu společnosti za předchozí finanční rok, stejně jako osobní odpovědnost vrcholového managementu. To platí bez ohledu na to, zda je společnost veřejná nebo soukromá. I národní železnice proto mohou být kontrolovány, což je silný argument pro lepší rozpočtová opatření na bezpečnost. Předejde se tak budoucím problémům s compliance.

Kyberbezpečnost na železnici

Zařídit funkční rozpočet na bezpečnost železnic v aktuální ekonomické situaci, která předznamenává recesi, může být obtížné, ale stačí najít správná řešení přizpůsobená vašemu odvětví:

  • Air-gapping a segmentace sítě: I když zde není 100 % jistota toho, že k žádnému útoku nedojde, může hrát tento přístup k oddělení OT a IT systémů klíčovou roli v zajištění toho, že vaše systémy (např. výhybky), zůstanou zabezpečené, i když jednu z těchto oblastí zneužijí hackeři. Omezíte tím jejich možnosti šířit se prostředím.

  • Správa záplat: Snadným způsobem, jak řešit bezpečnostní mezery, je využívat automatické aktualizace, které proaktivně řeší známé zranitelnosti.

  • Otevřené XDR: Jakékoli vysoce kvalitní SOC oddělení může těžit z platformy pro rozšířenou detekci a reakci (XDR), která je schopna přijímat data z více zdrojů pro přesnější přehled o aktivních kyberhrozbách. Zejména při používání mnoha OT zařízení (na vlacích i mimo ně) může být jejich spojení do jednoho bezpečnostního prostředí náročné bez integrace do jediné bezpečnostní konzole, kterou by otevřené XDR mělo snadno poskytnout.

  • MDR nebo MXDR: Úroveň nad interními zdroji představují služby spravované detekce a reakce (MDR), které kombinují lidskou expertizu a umělou inteligenci, což vede k rychlému řešení incidentů (6 minut u ESET MDR). I společnosti s plně vybavenými SOC týmy mohou znásobit své schopnosti díky přizpůsobenému pokrytí 24/7 a expertně využívaným informacím v rámci threat intelligence.

  • Threat Intelligence: TI mění reaktivní obranu na proaktivní ochranu. Namísto čekání na úspěšný útok mohou železniční operátoři pomocí TI identifikovat, které hrozby nejpravděpodobněji cílí na jejich systémy, porozumět taktikám útočníků a aplikovat obranu tam, kde je nejvíce potřeba. To znamená, že omezené rozpočty se utrácejí za skutečná, aktuální rizika, nikoli jen ta hypotetická.

Služby spravované detekce a reakce

ESET MDR

Zareagujte na incident do 20 minut. ESET MDR kombinuje nepřetržitý dohled AI a našich expertů. Díky tomu budete mít dokonalý přehled, co se ve vaší síti děje. Mějte na své straně řešení, které vám pomůže naplnit požadavky nového Zákona o kybernetické bezpečnosti.

DOZVĚDĚT SE VÍCE

Plnou parou vpřed

Železnice již dlouho představují stabilní, a přitom neustále se pohybující součást kritické infrastruktury státu. Narušení fungování železnic může způsobit zpoždění v důležitém pohybu zásob, zboží a lidí. Země jako Ukrajina ukazují, že zejména v době krize jsou vlaky životně důležitou záchrannou linií a skutečně si zasluhují investice do kybernetické bezpečnosti.

Pokud tedy vedení železničních společností a držitelé rozpočtu nepochopí, že bezpečnost je dnes stejně důležitá jako dodržet dobu odjezdů, mohou je čekat velké komplikace.

Čtěte více