La cyber security in ambito ferroviario: analisi delle vulnerabilità e misure di mitigazione - Cyber Security 360

IL RAPPORTO ENISA

La cyber security in ambito ferroviario: analisi delle vulnerabilità e misure di mitigazione

Alla luce del processo di digitalizzazione delle infrastrutture di trasporto, è importante creare consapevolezza sui temi della cyber security anche in ambito ferroviario, così come indicato nel rapporto ENISA sulla sicurezza degli impianti europei. Ecco i dettagli

28 Gen 2021
C
Giovanni Campanale

Security Manager, Data Protection Officer e Formatore

L’infrastruttura ferroviaria sta vivendo, a causa del processo di digitalizzazione che coinvolge l’intero settore, un momento di forte transizione rispetto sia alle sue attività operative sia alle sue interconnessioni con le altre infrastrutture di trasporto: anche per questo la cyber security riveste un peso sempre maggiore anche in ambito ferroviario tanto che l’ENISA, l’Agenzia Europea per la Cybersecurity, ha pubblicato lo scorso 13 novembre 2020 il suo rapporto sulla sicurezza delle ferrovie e degli impianti ferroviari presenti nei paesi dell’Unione Europea.

La cyber security in ambito ferroviario: il rapporto ENISA

Il rapporto ENISA, promosso in collaborazione con l’Agenzia Europea per le Ferrovie (European Railway Agency – ERA) quale parte di una campagna di adeguamento e sensibilizzazione per la sicurezza informatica nel settore ferroviario, presenta un’analisi di settore frutto del contributo congiunto proveniente dagli operatori di servizi essenziali (OES) in ambito ferroviario, presenti nei paesi membri dell’UE.

Il punto di partenza della relazione è la verifica dello stato attuativo della Direttiva (UE) 2016/1148 (Direttiva NIS) nei paesi dell’Unione, nonché l’impatto complessivo (in prima facie) registrato nel settore dei trasporti ferroviari, rispetto sia alle imprese ferroviarie (Railway Undertaking) sia ai gestori dell’infrastruttura (Infrastructure Manager).

Infrastrutture aeroportuali portuali e ferroviarie: scenari di rischio

Questa iniziativa rientra nell’ambito dell’impegno più ampio assunto da ENISA, rispetto alla collaborazione con la European Railway Agency (ERA), l’Agenzia Europea per la Sicurezza Aerea (EASA) e l’EMSA (l’Agenzia Europea per la Sicurezza Marittima, per promuovere una sempre maggiore sicurezza informatica, in tutto il settore dei trasporti in ambito europeo.

L’iniziativa di ENISA è fondamentale poiché, con l’analisi del rapporto tra cyber security e settore ferroviario, prosegue il percorso di sviluppo e promozione della sicurezza delle informazioni in ambito informatico nell’ambito delle infrastrutture di trasporto.

In questo modo, non solo l’infrastruttura aeroportuale, ma anche quella portuale e ferroviaria, fanno fronte ai medesimi scenari di rischio di cyber security.

In particolare, le infrastrutture portuali e ferroviarie si distinguono da quella aeroportuale per essere delle infrastrutture di trasporto tendenzialmente “aperte” sul piano strutturale e dell’accesso al mezzo, e percepite inoltre in un rapporto di ordinarietà con la vita delle città, che sono spesso sorte grazie alla nascita e sviluppo di queste vie di trasporto.

Il mondo delle ferrovie, soprattutto, si fonde con quello delle città urbane aprendo le porte delle proprie stazioni al pubblico, e non solo a quello che intende usufruire dei servizi di trasporto, ma anche a tutti coloro che nelle stazioni possono trovare offerte commerciali collegate a settori merceologici fra loro molto diversi; fra tutti ristoranti, negozi di libri, shop di vestiti e così via.

Gli attacchi informartici nel settore ferroviario

Come detto, il settore ferroviario sta vivendo un’importante fase di trasformazione delle sue attività operative, grazie al processo di digitalizzazione dei sistemi e delle proprie infrastrutture IT ed OT.

In questo senso l’automazione dei processi interni ed il crescente numero di interconnessioni con i sistemi di trasporto esterni ed hub multimodali, sta accelerando l’evoluzione dell’intero settore.

Di qui un’accresciuta percezione del rischio connesso alle violazioni di informazioni e dati presenti nelle infrastrutture IT, riferibili sia ai gestori dell’infrastruttura (Infrastructure Managers)[1], quali responsabili della gestione e mantenimento dell’infrastruttura ferroviaria sul piano fisico (ivi inclusa la gestione del traffico sulle linee), sia alle imprese ferroviarie (Railway Undertakings)[2] incaricate di fornire i servizi di trasporto di persone e merci su rotaia.

Sul piano della cyber security, la Direttiva 2016/1148 (Direttiva NIS) rappresenta la prima fonte normativa comunitaria, che estende il tema della gestione dei rischi cyber anche all’ambito ferroviario. Di qui la focalizzazione dello studio rispetto alle imprese ferroviarie ed ai gestori dell’infrastruttura, che sono particolarmente coinvolti nell’applicazione della Direttiva NIS, in qualità di Operatori di Servizi Essenziali.

Questo è tanto importante, quanto più si considera che il settore ferroviario, a fare data dal 2015 ad oggi, è stato oggetto di attacchi informatici che hanno reso evidenti le vulnerabilità del settore stesso.

Fra queste, il report di ENISA ricorda i seguenti fatti di cronaca resi noti:

  • 2015, Ucraina. Un attacco DoS eseguito da un attore di tipo APT (Advanced persistent Threat) ha provocato effetti su larga scala che hanno coinvolto centrali elettriche ed infrastrutture ferroviarie;
  • 2015/2016, Regno Unito. Tra luglio 2015 e luglio 2016, sono stati scoperti quattro attacchi informatici alla rete ferroviaria del Regno Unito. Dopo l’analisi, questi attacchi sono stati considerati come parte di un’operazione di ricognizione prima di un attacco APT, probabilmente guidato da un attore state affiliate;
  • 2017, Germania. Deutsche Bahn cade vittima del ransomware WannaCry. Il danneggiamento di alcuni dispositivi non consente di visualizzare informazioni ai passeggeri, ma a parte questo, il funzionamento del treno non è stato interrotto;
  • 2017, Svezia. Un attacco DDoS ha colpito l’Amministrazione svedese dei trasporti (Trafikverket) tramite i suoi due fornitori di servizi Internet. Secondo quanto riferito, l’attacco DDoS ha colpito il sistema IT che monitora le posizioni dei treni, rimuovendo anche il sistema di posta elettronica, il sito Web e le mappe del traffico stradale dell’agenzia federale. I clienti durante questo periodo non sono stati in grado di effettuare prenotazioni o ricevere aggiornamenti sui ritardi;
  • 2018, Danimarca. Un attacco DDoS ha pregiudicato i sistemi di ticketing della società DSB, impedendo ai passeggeri di acquistare i biglietti attraverso biglietterie automatiche ed app online;
  • 2020 nel Regno Unito. Gli indirizzi e-mail ed i dettagli di viaggio di circa 10.000 persone che hanno utilizzato il Wi-Fi gratuito fornito nelle stazioni del Regno Unito sono stati esposti online;
  • 2020, Svizzera. Il produttore svizzero di veicoli ferroviari Stadler è stato colpito da un attacco malware che ha avuto un impatto su tutte le sue sedi e potrebbe aver consentito agli aggressori di rubare dati aziendali sensibili. Dopo aver compromesso i sistemi Stadler, gli aggressori avrebbero infettato i suoi sistemi con malware, successivamente utilizzato per esfiltrare dati aziendali sensibili dai sistemi violati;
  • 2020, Spagna. Il gestore dell’infrastruttura spagnolo ADIF è stato colpito da un ransomware che ha esposto gigabyte di dati personali e aziendali;
  • 2020, Canada. TransLink la società di trasporti di Vancouver, ha subito un attacco informatico a mezzo del ransomware Egregor, pregiudicando le funzionalità dei sistemi di pagamento con carta di credito dei passeggeri.

Implementazione dei sistemi di cyber security in ambito ferroviario

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza
Backup

I precedenti sopra indicati, diversi per operatori e paesi colpiti, individuano le problematiche comuni che, sulla base dei risultati del report, pongono le prossime sfide che il settore dovrà affrontare, con particolare riferimento a quegli operatori indicati come essenziali.

La cyber security in ambito ferroviario: le problematiche

In questo senso rilevano i seguenti fattori:

  1. La scarsa consapevolezza della security informatica e digitale, nel settore ferroviario. Rispetto alla scarsa consapevolezza della security informatica e digitale nel settore ferroviario, il report sottolinea come gli operatori di servizi essenziali stiano comunque rilevando un graduale miglioramento in termini di awareness, grazie alla diffusione delle notizie inerenti agli incidenti informatici in ambito ferroviario. Ad esempio, dopo gli attacchi WannaCry e NotPetya, i team di cybersecurity di alcuni operatori di servizi essenziali nel settore ferroviario, sono cresciuti di numero.
  2. Difficoltà nel conciliare il mondo della safety e della cyber security. Safety First si dice in ambito marittimo e questo di certo vale anche nel settore ferroviario. Per ogni aggiornamento volto ad introdurre nuove misure di cybersecurity, i team di sicurezza (safety) devono garantire che i meccanismi connessi alla safety stessa rimangano intatti. Gli operatori del mondo safety, in questo senso, non sono storicamente consapevoli e adeguatamente formati per affrontare i temi connessi alla cyber security, con l’effetto di generare frizioni nelle relazioni tra il personale delle diverse funzioni.
  3. Trasformazione digitale del core business ferroviario. La fase di trasformazione digitale implica che una vasta gamma di dispositivi IT ed IoT venga introdotta nelle infrastrutture e sistemi ferroviari, senza essere adeguatamente mappati e gestiti. Questi cambiamenti introducono nuove vulnerabilità ed evidenziano la necessità che i sistemi OT siano conformi alle stesse disposizioni di security informatica, dei sistemi IT. Come i sistemi IT, i sistemi OT dovrebbero essere dotati di strumenti di monitoraggio, supervisione e amministrazione offerti o addirittura incorporati, oltre a dover essere progettati secondo principi di cyber security by design.
  4. Dipendenza dalla catena di approvvigionamento per la sicurezza informatica. Si registra una forte dipendenza degli operatori di servizi essenziali dai fornitori di riferimento e terze parti per la manutenzione e corretto aggiornamento dei propri sistemi. Le ragioni di questa dipendenza sono molteplici e si ricollegano al mantenimento di standard tecnici e di conformità, ad obblighi contrattuali pregressi. Ciascun fornitore proponendo soluzioni individuali per soddisfare requisiti funzionali simili, può però alimentare la sfida generale alla standardizzazione di misure di sicurezza informatica di base, per tutti i sistemi.
  5. Diffusione geografica dell’infrastruttura ferroviaria e l’esistenza di sistemi legacy. L’infrastruttura ferroviaria si articola su un ampio territorio spesso condiviso in aree metropolitane, dove i nodi critici dei sistemi e delle reti ferroviarie richiedono la massima disponibilità, nonché in aree rurali, dove protezione e manutenzione hanno un impatto più forte in termini economici e finanziari. Inoltre, i gestori dell’infrastruttura e le imprese ferroviarie, gestiscono molti sistemi c.d. legacy (ovvero uno o più componenti hardware o software che continuano ad essere utilizzati perché la sostituzione non è possibile sul piano tecnico o economico), con cicli di vita calcolati in decenni e spesso difficili o impossibili da aggiornare per implementare misure di security informatica. In questo senso la gestione del ciclo di vita che copre la security informatica, dovrebbe essere pianificata e anticipata anche per i sistemi futuri.
  6. La necessità di bilanciare security, competitività ed efficienza operativa. Il trasporto ferroviario è spesso un servizio pubblico, e come tale deve mantenere il prezzo di accesso al servizio, il più basso possibile, pena la scelta da parte degli altri viaggiatori di altre modalità di trasporto. Tuttavia, gli operatori di servizi essenziali devono continuare ad attuare misure di security informatica, che per natura hanno un impatto economico importante. Questa tipologia di investimenti deve essere inoltre possibilmente pianificata, senza dover incidere sul prezzo dei biglietti del treno. Di qui le problematiche per calcolare i budget per progetti ed adeguamenti di sicurezza informatica, così alimentando la ricerca continua di un equilibrio, spesso non facile, tra il rispetto del bilancio e l’aumento del livello di security atteso. Inoltre, le ferrovie richiedono investimenti a livello nazionale, che devono essere finanziati anche dalle entrate del servizio pubblico.
  7. Complessità e mancanza di armonizzazione delle normative per la cybersecurity. In ambito UE oltre al rispetto delle prescrizioni della Direttiva NIS, è richiesta anche la conformità alle leggi del proprio Stato sulla sicurezza nazionale e delle infrastrutture critiche. Questa molteplicità di esigenze di conformità non è spesso facile da raggiungere per gli operatori dei servizi essenziali, di qui la necessità rilevata di una maggiore armonizzazione a livello europeo; questo perchè gli operatori di servizi che operano in più Stati membri, devono spesso far fronte a requisiti di conformità fra loro diversi.

Le misure minime di security applicabili

A seguito delle riflessioni individuate, quali possono essere dunque le misure di security minime applicabili, per la gestione del rischio cyber in ambito ferroviario, da parte degli operatori di servizi essenziali?

Il report fornisce una classificazione in quattro macrocategorie, riferibili a quattro distinti obiettivi di riferimento: Governance ed Ecosistema, Resilienza, Protezione e Difesa. Ciascuna categoria declina, poi, prescrizioni operative di dettaglio. Vediamone alcune.

Governance ed ecosistema di riferimento

In questo senso, si richiede l’implementazione di processi di valutazione del rischio (Security Risk Analysis), al fine di identificare i sistemi critici di un operatore di servizi essenziali, attraverso un approccio basato sul rischio. La conduzione di un’analisi del rischio è di solito il primo passaggio per la conformità alle prescrizioni della Direttiva NIS, con il conseguente aggiornamento delle Security Policy riferibili a tutti i sistemi presenti nell’organizzazione.

Merita rilevare inoltre l’importanza della attività di audit (Security Audit), finalizzate a verificare il livello della cybersecurity e della compliance delle procedure interne, che sembrerebbero poste in essere maggiormente dagli operatori di servizi essenziali più strutturati.

Sul piano della c.d. Human Resource Security, è interessante rilevare come in ambito ferroviario alcuni operatori di servizi essenziali, abbiano già avviato iniziative di awareness per i propri dipendenti ma, “However, awareness campaigns take time to produce results, especially in the railway sector where the core business is closer to the physical than the digital world, and even further from cybersecurity issues” (vedi, pag. 32 del report).

Resilienza

L’implementazione delle misure di security che caratterizzano il livello complessivo di resilienza dei sistemi IT ed OT di un operatore di servizi essenziali, devono includere: Procedure di Business Continuity, Procedure di Disaster Recovery, Piano di Crisis Management (inteso come processo ed organizzazione).

Rispetto ai temi della Business Continuity e Disaster Recovery, buona parte degli operatori di servizi essenziali hanno già definito e testato piani relativi ai rischi di safety, security e scenari di incidenti specifici (es. incendi o inondazioni). Detti piani devono però essere aggiornati per includere i rischi cyber e loro evoluzioni (es. disponibilità di backup offline in caso di ransomware).

Protezione

Questa categoria include alcune misure di protezione di tipo tecnico ed organizzativo e rispetto alle quali, l’analisi del traffico mediante firewall e controllo accessi (traffic filtering) e le procedure di security fisica ed ambientale (physical and environmental security), rappresentano le misure più implementate e storicamente più consolidate.

Le misure di segregazione dei sistemi (system segregation) appaiono altresì applicate in linea generale, attraverso una divisione reciproca dei sistemi OT ed IT dalle altre reti. Un tema questo da approfondire, posta la sempre crescente interconnessione fra il mondo IT ed OT che potrebbe rendere necessarie nuove tecniche di segregazione e sicurezza dei sistemi.

Maggiori difficoltà per l’implementazione della crittografia (Cryptography), poiché i sistemi OT e legacy spesso non supportano nativamente meccanismi crittografici (e questo oltre alla maggiore complessità di studio ed implementazione dei necessari strumenti di gestione delle chiavi crittografiche e della gestione dei connessi certificati).

Difesa

Le misure di security che caratterizzano l’ambito della difesa, riguardano in via principale l’implementazione delle comunicazioni con le autorità competenti ed CSIRT locali (Communication with competent authorities and CSIRTs).

Questa procedura sembra essere ampiamente attuata da tutti gli operatori di servizi essenziali di settore e non solo, successivamente ad un evento critico (nell’ambito degli obblighi legali di notifica, in caso di incidente di cybersecurity), ma anche sul piano della partnership pubblico/privato in ottica di prevenzione e sharing informativo.

Anche il dispositivo di risposta ad un incidente di security e connesso reporting (Information System Security Incident Response ed Incident Reporting), sono processi largamente diffusi, anche per la natura stessa del settore ferroviario, dove gli incidenti di safety o security sono all’ordine del giorno.

In ogni caso, va considerata la necessità di aggiornamento periodico delle procedure indicate ed il loro ampliamento alle specificità connesse alla cyber security.

Conclusioni

L’implementazione della Direttiva NIS nel settore ferroviario ha trovato modelli di conformità diversificati fra i diversi stati membri. Le misure di sicurezza esaminate inoltre, sono differentemente applicate in base alla diversa struttura e competenza degli operatori di servizi essenziali, in materia di digitale e security informatica, fornitori di riferimento e budget disponibili.

La tendenza generale mostra in ogni caso, che le misure di sicurezza identificate dal gruppo di cooperazione per la direttiva NIS, sono credibili per gli operatori del settore, e la maggior parte di esse sembra essere stata positivamente attuata.

In sintesi, le misure di sicurezza maggiormente recepite dagli operatori di servizi essenziali sono le seguenti:

  1. nozioni di base di cybersecurity (es. politiche di sicurezza, registrazione dei log e filtro del traffico di rete);
  2. misure ulteriori diverse dai requisiti tecnici di security informatica (es. piani di business continuity aziendali);
  3. requisiti richiesti da norme cogenti (es. prevenzione degli infortuni, segnalazione e gestione degli incidenti).

Si registrano invece difficoltà nell’implementazione di misure connesse alla cybersecurity aventi un carattere più specialistico (es. crittografia), e questo a causa delle maggiori competenze richieste sul piano delle risorse umane da impiegare, così come diviene più difficile impostare una rigorosa governance della sicurezza informatica in ambito interno.

Il futuro rappresenta quindi un ulteriore sfida per l’accrescimento delle competenze e nel perfezionamento dei sistemi, rispetto al rischio crescente connesso alla cybersecurity.

In questo senso il CENELEC (Comitato Europeo di Normazione Elettrotecnica), sta completando un documento che va nell’ottica della standardizzazione, che mira ad introdurre requisiti e raccomandazioni per la gestione uniforme della cybersecurity in ambito ferroviario, mentre sul fronte delle politiche di sicurezza, la Commissione Europea con il supporto di ENISA, continua a lavorare per il miglioramento dell’applicazione delle misure indicate nella Direttiva NIS, negli ambiti nazionali degli stati membri dell’Unione.

Infine, il concetto di cyber security by design in ambito ferroviario si sta evolvendo, a testimonianza del fatto che la sicurezza informatica viene lentamente integrata nella progettazione di sistemi e prodotti IT e OT dedicati ai sistemi di trasporto.

Non ultima la cultura della security informatica, che continua a svilupparsi tra le parti interessate, sia operatori di servizi essenziali che i loro fornitori.

NOTE

  1. Vedi, Art. 3, numero 2, Direttiva 2012/34/UE, che definisce gestore dell’infrastruttura “qualsiasi organismo o impresa incaricati in particolare della realizzazione, della gestione e della manutenzione dell’infrastruttura ferroviaria, compresa la gestione del traffico, il controllo-comando e il segnalamento. I compiti del gestore dell’infrastruttura per una rete o parte di essa possono essere assegnati a diversi organismi o imprese”.
  2. Vedi, Art. 3, numero 1, Direttiva 2012/34/UE, che definisce l’impresa ferroviaria “qualsiasi impresa pubblica o privata titolare di una licenza ai sensi della presente direttiva e la cui attività principale consiste nella prestazione di servizi per il trasporto di merci e/o di persone per ferrovia e che garantisce obbligatoriamente la trazione; sono comprese anche le imprese che forniscono solo la trazione”.
WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga

@RIPRODUZIONE RISERVATA

Articolo 1 di 4