新世紀鐵道 網絡安全有隱憂?   

科技 21:21 2020/04/23

分享:

相比其他日常交通方式,列車上的我們總覺得安全是理所當然,大部分原因是意外概率除於百萬計算里數之後,乘搭日常鐵路或高鐵的意外概率遠比其他方式來得低。

然而,當鐵路交通的系統和操作,以乘客安全(以及其他優點)為由,逐漸趨向數據化,同時也冒現潛在的風險。任何一項新的技術在面世之後,少不免也打開了風險之門,各種潛在的網絡攻擊和威脅也接踵而至。

軟件取代傳統操作  駭客入侵風險升
未來的鐵路交通數據化幾乎是毫無疑問的,那些通過模擬電子以及電子機械的傳統格式終將被軟件取代。先進的軟件應用讓行車控制主任得到列車動向和整體操作分析的即時資訊,並藉此簡化流程和提高效率,以降低成本並提升列車的可靠性。技術廣泛被使用,從維修預測到自動信號發送、從無人駕駛到提升乘客體驗,數碼技術既能引領更先進的性能,也可為、鐵路營運公司、操作人員和乘客帶來益處。

這個美好的未來,同時也帶來隱憂和弊端。尤其是列車變得愈來愈依賴數碼科技,這背後由複雜的電腦系統所操控,如同任何數碼系統一樣,意味著有可能遭到駭客入侵。

無可厚非,如同任何其他行業一樣,鐵路交通不能幸免於潛在的網路攻擊。實際上,鐵路操作以及其持分者極可能遭受的風險含括以下:

•​服務質量和回報的運營風險
•​乘客以及其財產的潛在安全風險
•​公司的形像以及聲譽的影響

整合新舊系統  保安挑戰大
所謂鐵路系統持分者包括系統整合、服務提供商和原始設備制造商,理應對整個鐵路系統的彈性作出更為積極貢獻,以及確保此系統具備了應有的內部架構、流程、產品以及相應的解決方案。

有別於傳統的數碼系統的保安,鐵路系統最終目標是安全和可靠性。畢竟,我們無法忽略此系統架構特性,不管廣泛的因素、遙遠的距離,以及由源自於中央控制室以至列車上的設備。同時,鐵路系統壽命遠比各項技術來得長。與此同時,必須確保新舊科技的妥善整合,因為各個科技都有各自不同的保安程度。此外,從運營需求的角度來看,總不能暫停整個列車網絡操作來更新網絡系統。

為了解決以上所陳述的問題,實施一套保安開發週期 (Secure Development Life Cycle) 和即時修復過程乃是當務之急。這一切取決於最初的網絡安全風險評估 (Cybersecurity Risk Assessment)。

維繫鐵路系統安全  最重要是「可靠」
分析從評估風險開始,主要是識別一些主要的風險,以及緩解措施的實行。在此風險評估期間,背景(潛在的威脅、系統漏洞)應被定義,各系統組件會相應的解決方案,從此找尋合適的保護模式,鑒定操作局限,產品推出時間以及部署時間,當然還有及其重要的因素——成本。此外,為了防止駭客入侵而給設施和服務加固的各類所採取的保護措施,實際上也為機制加強了網絡入侵的檢測。

最後,保安測試和保安保證 (Security Testing and Security Assurance)將會確保所有的安全措施絕對的可靠。須知,鐵路網絡在瞬息萬變的情況下,並非所有的安全措施皆滴水不漏。這就是為什麼有必要建立一個強大的防止漏洞管理過程,以及在系統組件發現漏洞後要及時修復的原因。 這同時也是唯一的方法,去維繫整個鐵路系統壽命的保安。

應對網絡安全挑戰  人人有責
話雖如此,我們也必須意識到網絡安全不僅僅局限於產品和解決方案的開發。它同時也涵蓋其他階段,比如:製造生產、測試、供應和安裝,當然也包括逾期的卸載和各類善後工作。它也必須具有威脅預景監察,以及無時無刻的漏洞監督,進而強化安全事宜的管理方法。

有鑒於此,整套網絡安全的理念不得含糊——它的關鍵在於該行業應當僱用合適的人員,並對其進行良好的培訓。在系統安裝、管理、操作和維繫中擁有足夠的資源。這些步驟將能確保整個鐵路系統壽命的保安,以及不時提升對系統在面對威脅的智能。馬虎不得的是製定整個企業的網絡安全策略和流程的安全指南,並通過持續性的系統、操作以及維修相關人員的培訓,以作為最強後盾。

此列網絡安全任務不能只讓一人孤軍奮戰。整個行業應當群策群力,相輔相成共同解決問题。每當實施新系統或者舊系統更新時,所有持分者得共同商討,為安全風險評估和相對保護目標達到共識。大家同時參照相同的語言、方案以及參考。此合作模式應當涵蓋事件/威脅分享;在行業層面上,我們必須對所識別的威脅紀錄在案,以達致相同的看法。這將有助於該行業定義相關的措施和優先選項。

共享技術  有助得到更多保護
國際標準化委員會(例如,為各企業提供的IEC 62443網路安全標準或為鐵路提供的Shift2Rail歐盟鐵路工業研究計劃,或歐洲標準化委員會CEN / 歐洲電工技術標準化委員會CENELEC),目前正在邁向正確的方向中發展,當給予更多的支持。這些小組在不久的將來必能取得成果。

此外,與企業夥伴共同確認最佳的實施也有幫助。其中一項明顯的例子,空中巴士的航空製造商已經和鐵路商達成協議,將空中運營的良好模式帶入鐵路業務。航空和列車皆是大量載客的運輸工具,同時也面對著潛在致命的恐怖主義。每天列車載著數以千計的乘客來回行人口密集的市中心,倘若遭受網絡攻擊,必引起災難性的嚴重後果。在2017年與空中巴士年簽署的網絡安全合作協議(cybersecurity co-operation agreement)將會為運輸業提供新的風險管理模式,專注於共同開發一項新的運輸弱點分析,並共享核心保護技術的新科技。

有鑒於今時今日這個未能倖免於網絡攻擊的社會,尤其是各個主要交通經營者、所有包括每個乘客在內的持分者所面臨的風險,各項符合最新網絡安全以及政府規範的鐵道產品和服務,皆為當代之需。

撰文 : 羅義松 阿爾斯通中國及東亞區總裁

欄名 : Smart World

緊貼財經時事新聞分析,讚好hket Facebook 專版