Standardy i ramy regulacyjne

kolejnakolej.info 2 dni temu

W kolejnictwie – podobnie jak w lotnictwie czy w energetyce – standardy branżowe pełnią rolę wspólnego języka, pozwalającego wszystkim stronom procesu (tj. zarządcom infrastruktury, przewoźnikom, producentom systemów, organom certyfikującym) mówić o bezpieczeństwie w spójny i weryfikowalny sposób.

Norma IEC 62443 dostarcza kompleksowych ram dla cyberbezpieczeństwa systemów automatyki i sterowania przemysłowego. Określa wymagania dla systemów, komponentów i procesów organizacyjnych na różnych poziomach dojrzałości bezpieczeństwa. W sektorze kolejowym stanowi ona punkt wyjścia dla wielu wdrożeń, adaptowanych do specyfiki branży.

Specyfikacja techniczna CENELEC TS 50701 to standard dedykowany bezpośrednio kolejnictwu – pierwsze tego rodzaju opracowanie uwzględniające specyficzne wymagania operacyjne, architekturalne i certyfikacyjne systemów kolejowych. Dokument ten tworzy pomost między ogólnymi ramami bezpieczeństwa OT a realiami środowisk SRK, systemów łączności i zarządzania ruchem.

Jego rozwinięciem jest projekt normy IEC 63452, która ma stanowić pierwszy międzynarodowy standard cyberbezpieczeństwa w kolejnictwie.

Wdrożenie tych standardów oznacza w praktyce regularną ocenę ryzyka (z uwzględnieniem katalogu zagrożeń, identyfikacji słabych ogniw i priorytetyzacji środków zaradczych), klasyfikację aktywów według ich krytyczności, testy bezpieczeństwa obejmujące zarówno analizę podatności, jak i testy penetracyjne, a także sformalizowane procedury reagowania na incydenty.

Analiza ryzyka i trzy najważniejsze zasady

Każda skuteczna strategia cyberbezpieczeństwa musi być zakorzeniona w rzetelnej analizie ryzyka. W systemach kolejowych analiza ta musi uwzględniać każdy interfejs i każdy system – z uwzględnieniem ewentualnych konsekwencji ataku na każdym z tych punktów styku, ponieważ w przypadku systemów sterowania ruchem kolejowym te konsekwencje mogą mieć najważniejsze znaczenie dla bezpieczeństwa pasażerów i personelu.

Systematyczne podejście, oparte na metodykach takich jak STRIDE (od ang. spoofing – podszywanie się, tampering – manipulacja, repudiation – wyparcie, information disclosure – ujawnienie informacji, denial of service – odmowa usługi, elevation of privilege – podniesienie uprawnień), pozwala zidentyfikować słabe punkty, zanim zostaną wykorzystane przez osoby niepowołane.

W praktyce bezpieczeństwo systemów SRK jest efektem połączenia trzech zasad:

  1. nie dopuść do ataku,
  2. nie dopuść do błędnego działania systemu pod wpływem zewnętrznych ingerencji,
  3. jeśli coś się stanie – zapewnij, iż system przejdzie w stan bezpieczny.

Realizacja tych zasad wymaga ścisłej współpracy wszystkich uczestników ekosystemu kolejowego: zarządców infrastruktury, przewoźników, producentów systemów, integratorów i organów regulacyjnych. Tylko tak rozumiane systemowe podejście do cyberbezpieczeństwa jest w stanie sprostać współczesnym wyzwaniom związanym z szeroko pojętym bezpieczeństwem na kolei.

Marcin Kaczmarczyk

Doświadczony dziennikarz gospodarczy i technologiczny, publikujący m.in. w magazynie „Forbes”, „Gazecie Wyborczej” oraz mediach należących do Axel Springer

Idź do oryginalnego materiału