CYBER RISK

Settore ferroviario, una questione di cyber security: strumenti e misure da adottare

I rischi informatici del settore ferroviario implicano sfide completamente nuove. Le imprese ferroviarie, infatti, spesso non dispongono delle competenze interne, della struttura organizzativa, dei processi o delle risorse per valutarli e mitigarli efficacemente. Ecco gli strumenti e le misure da adottare

01 Feb 2022
L
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

La cyber security è sempre più cruciale in un mondo che fa sempre più affidamento a infrastrutture e a dispositivi connessi. Anche il settore ferroviario non può esimersi dalla gestione del cyber risk, considerando che treni e infrastrutture sono basati sull’elaborazione di dati e sull’intelligenza artificiale in un’ottica di miglioramento della gestione del traffico, d’efficienza energetica e della comunicazione di rete.

Pertanto, per proteggere il materiale rotabile e gli impianti fissi è necessario il supporto di strumenti, di requisiti particolare e dell’implementazione di linee guida atte a gestire la sicurezza informatica del settore. Vediamo con quali criteri.

I nuovi rischi informatici del settore ferroviario

ENISA (European Union Agency for Cybersecurity), lo scorso novembre 2021, ha pubblicato un nuovo Report dal titolo “Railway Cybersecurity – Good Practices in Cyber Risk Management” con il proposito di fornire buone pratiche per gli approcci di gestione del rischio informatico applicabili al settore ferroviario.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati

I rischi informatici del settore ferroviario implicano sfide completamente nuove. Le imprese ferroviarie, infatti, spesso non dispongono delle competenze interne, della struttura organizzativa, dei processi o delle risorse per valutarli e mitigarli efficacemente in modo tale che tutte le parti coinvolte raggiungano e mantengano un livello di base di cyber security.

Il report, da una parte, stimola il settore a una maggiore consapevolezza delle minacce informatiche rilevanti e, dall’altra parte, fornisce metodi applicabili ed esempi pratici su come valutarne e mitigarne i rischi. Lo fa attraverso l’elenco delle risorse, dei servizi e delle misure di sicurezza informatica basati sugli standard e sulle buone pratiche finalizzate alla promozione della collaborazione tra le parti interessate in tutta l’Unione Europea.

Gestone del rischio cyber

In termini di gestione del rischio dei sistemi IT (Information Technology) ferroviari, il report di ENISA fa riferimento ai requisiti della direttiva NIS a livello nazionale, la famiglia di standard ISO 27000 e il quadro di sicurezza informatica NIST.

Per i sistemi OT (Operational Technology), i framework citati sono ISA/IEC 62443, CLC/TS 50701 e le raccomandazioni del progetto Shift2Rail X2Rail-3, o quelle del progetto CYRail.

Si tratta di standard o approcci nella maggior parte dei casi utilizzati per affrontare adeguatamente la gestione dei sistemi sia IT sia OT.

È doveroso ricordare che, mentre i sistemi IT sono normalmente valutati con metodi più ampi e generici (vedi direttive famiglia ISO 27000 o NIS), i sistemi OT richiedono metodi e framework specifici che sono stati progettati per i sistemi di treni industriali quali, ad esempio, gli standard ISA/IEC 62443.

Di fatto, il report consiglia di adottare il quadro e gli standard generici ad alto livello e quelli più tecnici o specifici a livello di applicazioni e risorse, in modo tale che i rischi e le misure di cybersecurity rilevate alla fine di ogni processo siano consolidati in un piano globale di mappatura e trattamento dei rischi stessi.

Lo standard IEC 62443-4-2 per la cyber security industriale: le linee guida

Tassonomia degli asset

Risulta fondamentale identificare ciò che è necessario proteggere. Il Report ne fornisce un elenco completo suddiviso in 5 aree, i.e.: i servizi che le parti interessate forniscono; i dispositivi (sistemi tecnologici) che supportano questi servizi; le apparecchiature fisiche utilizzate per fornire questi servizi; le persone che li mantengono o li utilizzano; i dati utilizzati.

La sfida maggiore del settore ferroviario risiede nelle interdipendenze IT e OT dato che i loro confini sono sempre più “sfumati” e implicano diversi livelli di maturità in termini di sicurezza informatica.

Pertanto, mantenere un inventario esaustivo risulta estremamente complesso, considerando il fatto che i sistemi si stanno evolvendo rapidamente e la digitalizzazione di tutti i processi sta aggiungendo sempre più sistemi che devono essere monitorati.

Inoltre, le persone responsabili dell’inventario spesso non sono a conoscenza di tutte le risorse e si affidano a ingegneri di sistema o esperti di sicurezza del proprietario dell’asset per mantenere l’inventario, senza dimenticare che i sistemi gestiti da terze parti sono complicati da integrare negli inventari interni a causa di questo mix di responsabilità.

Pertanto, si suggerisce di implementare strumenti automatizzati per la gestione delle risorse IT/OT (i.e. identificazione, registrazione e monitoraggio), prestando attenzione durante la loro configurazione a non influire negativamente sulle prestazioni dei sistemi.

Inventario dei fornitori e delle risorse

Un altro aspetto da considerare è la gestione dei rischi correlati ai fornitori (ad esempio, l’accesso remoto alle reti/ai sistemi ferroviari) a causa sia della natura eterogenea degli stessi sia del parziale controllo del loro livello di cyber security e dei rischi informatici che possono introdurre.

Questo aspetto può essere ovviato eseguendo un inventario di tutti i fornitori, classificandoli in termini di criticità (i.e. verificando se hanno accesso a un sistema critico, se vi è una forte interconnessione tra i sistemi, se gestiscono dati sensibili ecc.) e valutando così la maturità di cyber security dei fornitori più critici.

L’elenco risultante dovrebbe contenere i servizi che le parti interessate devono fornire e le risorse, quali dispositivi, infrastrutture fisiche, persone e dati necessari per supportare tali servizi.

Inoltre, le parti interessate possono sviluppare indicatori per valutare l’impatto del rischio informatico sulla disponibilità, l’integrità e la riservatezza di tali risorse e servizi (ad esempio, numero di utenti interessati, impatto economico, impatto ambientale, obiettivi relativi ai tempi di recupero ecc.).

Ne consegue che è fondamentale mantenere un inventario anche delle risorse, tenendo conto del sistema cui si riferiscono, del servizio che supportano e delle informazioni che gestiscono, considerando le interdipendenze tra sistemi e hardware e software di terze parti, fornitori o altre parti interessate.

Infine, il dipartimento/divisione responsabile della cyber security delle reti ferroviarie dovrebbe essere incluso nella revisione e nell’attuazione dei contratti di appalto per garantire la cyber resilience.

Coinvolgere l’industria

Secondo ENISA sarebbe auspicabile un maggior coinvolgimento dell’industria e l’attuazione di misure di cybersecurity attraverso la progettazione di linee guida a livello europeo: i produttori e i fornitori sarebbero in grado di garantire una maggiore conformità dei loro sistemi e, in tale ottica, i requisiti di riferimento comuni dovrebbero riflettersi nelle gare d’appalto per consentire a soluzioni concorrenti di raggiungere capacità di sicurezza similari in tutta Europa.

Inoltre, l’uso di sistemi di certificazione a livello europeo per la cybersecurity dei sistemi IT o OT potrebbe essere un ulteriore modo per valutare se tali requisiti sono soddisfatti dall’industria e siano in grado di garantire la continuità operativa.

Tassonomia delle minacce

I sistemi OT compromessi possono influire sulla sicurezza dei passeggeri, causare un incidente ferroviario o interrompere il traffico. Essi sono solitamente più vulnerabili rispetto ai sistemi IT, sia a causa della mancanza di consapevolezza della sicurezza informatica nel personale OT sia perché non sono stati progettati pensando alla sicurezza informatica (i.e.: cicli di vita di 30 anni, presenza di sistemi legacy), oltre a risultare meno controllati e decentralizzati rispetto ai sistemi IT.

In passato i sistemi OT erano meno esposti in quanto spesso isolati da internet e da altre reti IT, mentre ora sono sempre più interconnessi con i sistemi IT classici, risultando ancora più vulnerabili ed esposti alle minacce informatiche.

Il report di ENISA fornisce 7 tipologie di scenari, quali:

  • Scenario 1: compromissione di un sistema di segnalamento o di un sistema di controllo automatico del treno in grado di causare un incidente ferroviario;
  • Scenario 2: sabotaggio dei sistemi di supervisione del traffico, comportante l’arresto del traffico ferroviario;
  • Scenario 3: attacco ransomware, comportante un’interruzione dell’attività;
  • Scenario 4: furto dei dati personali dei clienti dal sistema di gestione delle prenotazioni;
  • Scenario 5: perdita di dati sensibili a causa di database non sicuro ed esposto;
  • Scenario 6: attacco DDoS (Distributed Denial of Service) che impedisce ai viaggiatori di acquistare biglietti;
  • Scenario 7: evento dirompente comportante la distruzione struttura del data center, con conseguente interruzione del servizio IT.

Settore ferroviario: le misure di cyber security

Il Report fornisce una comparazione tra l’elenco di controlli della direttiva NIS rispetto a vari riferimenti (ISO27001, NIST CSF e CLC/TS5070139) e rimanda alle parti interessate il compito di quale scelta operare, in termini di misure di cybersecurity. Ovvero: se selezionare solo alcune misure da questo elenco, oppure utilizzarlo come base per costruire il proprio elenco o adottarlo nella sua interezza.

Inoltre, le parti interessate dovranno anche rispettare le linee guida nazionali e le normative settoriali nazionali specifiche oltre a verificare quali riferimenti si applicano a loro e, se necessario, completare il presente elenco con i requisiti mancanti.

Il Report sottolinea l’importanza della sensibilizzazione e delle sessioni di formazione (in particolare contro le principali minacce, come ransomware e phishing) o della sicurezza della posta elettronica per prevenire il phishing.

Inoltre, la protezione degli endpoint e la segregazione della rete risulta essere fondamentale per ridurre il rischio di propagazione di tali attacchi. Mentre, per quanto riguarda la sicurezza OT, bisognerà focalizzarsi sulla segregazione della rete e sul controllo degli accessi per i sistemi critici, senza dimenticare i sistemi legacy.

4SECURail: la cyber security integrata del settore ferroviario

Nel 2020, per contrastare gli attacchi informatici alle ferrovie europee, è stato avviato il progetto 4SECURail che, attraverso un team di risposta agli incidenti di sicurezza informatica denominato CSIRT, mira a supportare l’implementazione di un modello per favorire la cooperazione, i tempi di reazione e la risposta di qualità tra tutte le parti interessate in caso di una minaccia informatica alla rete ferroviaria europea. Si tratta di un’iniziativa biennale – parte del programma Shift2Rail dell’Unione Europea –e costituito da un consorzio multinazionale di organizzazioni europee.

La rete ferroviaria europea, attraverso quest’iniziativa proattiva, potrà: mettere in atto pratiche di sicurezza informatica più rigorose a tutti i livelli; garantire risposte di sicurezza e protocolli di notifica più efficienti, nonché una maggiore interoperabilità tra i sistemi di segnalazione in modo tale da aumentare la sicurezza, la protezione e l’efficienza del sistema ferroviario europeo.

Conclusioni

La digitalizzazione dei sistemi ferroviari rende le operazioni ferroviarie più vulnerabili ai cyber attack. Il Report ENISA ha evidenziato la necessità di un approccio più strutturato e omogeneo in termini di gestione del rischio informatico in modo tale da armonizzare tutto il sistema ferroviario europeo.

Grazie a processi collaborativi migliorati e sistemi aggiornati, le difese di sicurezza informatica del sistema ferroviario europeo saranno maggiormente in grado di gestire la rapida trasformazione digitale in corso e l’evoluzione del panorama delle minacce.

Fondamentale sarà prevedere, altresì, un’ulteriore standardizzazione delle linee guida e la creazione di norme generali a livello europeo atte a garantire la gestione condivisa del cyber risk, considerando che la governance della sicurezza informatica è destinata a svolgere un ruolo chiave nel raggiungimento degli obiettivi di sicurezza delle organizzazioni di tutto il settore ferroviario europeo non solo per le esigenze attuali, ma anche per garantire strutture ben consolidate per le sfide future.

Indispensabile, in questa strategia, il coinvolgimento dell’industria, in termini di innovazione, di risorse fornite e di qualità dei fornitori di prossimità. Allo scopo finale – anche se non espresso nelle formule, nei dati e negli algoritmi – della difesa delle vite umane dalle nuove insidie della natura e delle tecnologie deviate.

WHITEPAPER
Quali caratteristiche delle VDI garantiscono un aumento di produttività
Datacenter
Virtualizzazione
@RIPRODUZIONE RISERVATA

Articolo 1 di 4