欧洲铁路的7大网络安全挑战

E安全1月27日讯  铁路是欧盟经济发展的关键,铁路的存在使货物和旅客能够便捷地在国内和欧盟境内跨境运输。ENISA近日的《铁路网络安全》报告分析了在每个欧洲成员国在执行NIS指令的背景下,欧洲铁路部门网络安全措施的实施水平。

该研究报告提供了一个完整的基本铁路服务清单,并对其支持的铁路系统进行了详细的概述。最后,介绍了欧洲铁路交通管理系统以及一些关键的网络安全挑战和建议。

根据ENISA的《铁路网络安全》报告,欧洲境内当前存在的网络安全挑战如下:

1、铁路行业的网络安全意识较低

2、铁路安全与网络安全难以协调

3、铁路核心业务数字化转型

4、在网络安全上依靠供应链

5、铁路基础设施遗留系统的存在

6、需要平衡安全和运作效率

7、网络安全法规的复杂性和缺乏统一性

01、铁路行业的网络安全意识较低

总的来说,铁路行业员工对网络安全的意识仍然很低,基本服务经营者报告称,随着针对铁路部门的网络事件的增加和公开化,铁路行业员工对网络安全的意识正在缓慢提高。例如,在“NPetya”攻击之后,铁路行业的网络安全团队的数量开始增长。

02、铁路安全与网络安全难以协调

在铁路行业,安全的重要性是不容置疑的。每次更新网络安全政策时,铁路行业的安全团队都需要确保安全机制保持统一,而这会导致铁路安全和网络安全人员之间的关系更加复杂。铁路安全与网络安全团队各自有相对独立的要求,会造成彼此间的相互矛盾。

例如,在管理网络安全的系统更新的情况下,过时的IT组件仍可能获得最高安全级别的认证。这表明,铁路安全与网络安全之间的需求差异不仅体现在技术层面,也体现在治理层面。

03、铁路核心业务数字化转型

大多数铁路基本服务经营者目前正在进行数字化转型,大量的IT和IOT操作技术设备被引入铁路系统,但相应的采购、使用与管理较为匮乏。这些变化导致了新的网络安全漏洞。

在操作领域,网络资产、网络连接设备、软件开发应受到更多的重视。像IT系统一样,操作技术系统应该提供监控、监督和管理工具,甚至是嵌入式工具。此外,新的操作技术系统应该在设计上整合铁路安全和网络安全要求。

04、在网络安全上依赖供应链

铁路基本服务经营者报告称,他们在系统更新补丁管理生命周期管理方面严重依赖于供应商和其他第三方(其中包括云服务供应商)。每个供应商可采用独立的技术来满足功能需求,而这将导致标准化的形成更加困难。

由于每个供应商对网络安全的需求和相关技能的认知各不相同,这导致操作技术系统中不同级别的网络安全难以统一。此外,NIS指令中没有针对供应商的规定,因此供应商在应用网络安全方面没有严格的法律标准。

05、铁路基础设施遗留系统的存在

铁路基础设施主要分布在各大城市之间,在这些地区,铁路系统和网络的关键节点需要最大的可用性,而在农村地区,保护和维护这些系统需要大量的经济成本。

此外,信息管理系统和铁路事业的管理存在许多遗留或过时的系统,为了实施网络安全措施,这些系统很难甚至进行升级。一些制造商甚至失去了升级这些系统的技术。

过时的操作技术要求程序、政策和人为干预补丁与更新,以确保足够的网络安全级别。新系统的生命周期管理更应涵盖网络安全,并应加以规划和预期。

06、平衡安全和运作效率

铁路运输是一项公共服务,服务经营者必须保持票价尽可能低,否则旅客会选择其他交通方式。然而,与此同时,铁路服务经营者必须实施成本高昂的网络安全措施,且不能通过提高火车票价格来增加其收入。因此,铁路服务经营者在为网络安全项目预算时经常遇到重大的经济成本问题。

铁路需要信息管理系统在全国范围内进行投资,这些投资也需要由服务收入提供资金。相比之下,水运或航空运输不需要在整个领土内投资。

此外,加强信息管理系统的安全性可能会使数据流和系统变得复杂,如果出现任何问题(例如证书过期),可能会严重影响系统性能与可用性。

07、网络安全法规的复杂性和缺乏统一性

对于一些铁路运营商来说,理解法律条规,尤其是NIS指令,可能很困难。一些报告指出,除了NIS指令之外,运营商还必须遵守欧盟内其他国家法律,如国家安全或关键基础设施法律。然而,此类法律法规应在整个欧盟统一,因为在多个管理系统中运行的运营商通常需要面临不同的合规要求。

重磅福利

活动1:

转发本文至朋友圈并在文末留言评论

即可获得E安全定制笔记本1本

活动2:

文末留言并转发本文至朋友圈集赞

10个赞获渔夫帽

20个赞获帆布袋

30个赞获定制卫衣

注:本文由E安全编译报道,转载请注原文地址

https://www.easyaq.com

(0)

相关推荐

  • 网络安全的风险管理原则

    适用于所有组织的风险管理原则,无论其规模大小.风险管理指南针对范围广泛的组织,从个体经营者到大型政府部门.本节描述一些基本的风险管理原则,这些原则对于大多数中小型企业 (SME) 或个体经营者来说就足 ...

  • 网络安全之供应链安全(二)

    上次我们在<网络安全之供应链安全(一)>谈到了了解风险,今天我们探讨第二部分"建立控制". 二.建立控制 本文的原则将帮助组织获得并保持对供应链的控制.一旦组织能够更好 ...

  • 网络安全之供应链安全:评估供应链管理实践

    今天,我们就供应链安全,继续探讨.如果已经遵循良好的采购和合同实践,以下提供可以考虑的其他因素,以便我们更好的评估供应链管理实践的优劣好坏. 好的 坏的 与供应商建立伙伴关系.如果组织供应商采用组织供 ...

  • OT团队实施工厂网络安全十全攻略——误区、技术、评估、路线图

    图片来源:艾默生 作者:Alexandre Peixoto,Rick Gorskie, " 通过制定简单策略,从网络风险评估中获取最大价值.本文重点介绍运营技术(OT)团队在进行评估时应避免 ...

  • 网络安全的 10 个步骤之漏洞管理

    国庆快乐, 假期最后一天, 祝愿大家归家路上一路畅通! 在整个生命周期内保护系统. 大多数网络安全事件是攻击者利用公开披露的漏洞来访问系统和网络的结果.一旦漏洞被披露,攻击者通常会不加选择地寻求利用漏 ...

  • 网络安全之供应链安全(一)

    介绍今天我们一起探讨提高组织对供应链安全的认识,并通过继续采用良好实践帮助提高这方面的基本能力水平.大多数组织依靠供应商来交付产品.系统和服务.自己可能有许多供应商,这就是我们开展业务的方式. 供应链 ...

  • 网络安全之供应链安全:第三方软件供应商

    了解通过第三方软件供应商发起的供应链攻击示例,其中合法的工业控制系统可能被"木马化".自2011年以来,被称为 Dragonfly(也称为 Energetic Bear.Havex ...

  • 设计即安全(SecureBydesign)——工业网络安全的最新发展趋势

    图片来源:西门子 " 网络安全通常是控制系统现代化的催化剂,越来越多的工业和关键基础设施项目会指定自动化产品和系统在设计上实现网络安全. " 工业和关键基础设施的技术人员越来越多地 ...

  • 网络安全之供应链安全(三)

    三.检查安排 企业需要对其建立对供应链的控制的方法充满信心. 10. 将保证活动纳入供应链管理 要求那些对供应链安全至关重要的供应商通过合同提供安全绩效的向上报告,并遵守任何风险管理政策和流程. 将& ...

  • 麦肯锡:应对汽车信息安全的挑战

    后台回复"麦肯锡信息安全",获取麦肯锡原文报告 本文以McKinsey发布的Cybersecurity inautomotive Mastering the challenge的研 ...

  • 如何学习网络安全

    表白:黑白圣堂血天使,天剑鬼刀阿修罗.  讲解对象:/如何学习网络安全 作者:融水公子 rsgz 网络安全 网络安全教程 http://www.rsgz.top/post/771.html 网络安全所 ...

  • 2018年网络安全趋势及解决方案

    网络安全已经不再仅仅是信息技术的一个门类,不在只是局限于信息系统的安全,已经上升到国家安全的战略地位,是继陆.海.空.天这外的第五个国家主权空间.18年中央网信办.公安部.工信部.各省市政府.标准制定 ...

  • 制造业正在面临一个难题——应对更严峻的网络安全挑战

    制造业正在面临一个难题,那就是网络黑客正在越来越多的将"魔爪"伸向工业设备.现在,是时候改变任何黑客可能不关心工业设施或过程控制的想法了.例如2017 年发现的一种名为Triton ...