Ο Οργανισμός της ΕΕ για την Κυβερνοασφάλεια (ENISA) και ο Οργανισμός της ΕΕ για τους Σιδηροδρόμους (ERA) ένωσαν τις δυνάμεις τους για να οργανώσουν ένα εικονικό διαδικτυακό σεμινάριο σχετικά με την ασφάλεια στον κυβερνοχώρο για τον σιδηροδρομικό τομέα.
Ενώ o ERA πρόκειται να παρουσιάσει την κατάσταση σχετικά με την κυβερνοασφάλεια στον συγκεκριμένο τομέα, ο ENISA ανακοίνωσε την έκθεσή του «Σιδηροδρομική Κυβερνοασφάλεια – Καλές Πρακτικές στη Διαχείριση Κυβερνοκινδύνων» για σιδηροδρομικούς οργανισμούς.
Οι ευρωπαϊκές σιδηροδρομικές επιχειρήσεις και οι διαχειριστές υποδομής πρέπει να αντιμετωπίζουν τους κινδύνους στον κυβερνοχώρο με συστηματικό τρόπο ως μέρος των διαδικασιών διαχείρισης κινδύνων τους. Αυτή η ανάγκη έγινε ακόμη πιο επιτακτική από τότε που τέθηκε σε ισχύ η Οδηγία για την ασφάλεια δικτύων και πληροφοριών (NIS) το 2016.
Οι στόχοι της έκθεσης για την κυβερνοασφάλεια των σιδηροδρόμων
Σκοπός της έκθεσης είναι να παράσχει στις ευρωπαϊκές σιδηροδρομικές εταιρείες και διαχειριστές διαχείρισης πληροφοριών εφαρμόσιμες μεθόδους και πρακτικά παραδείγματα σχετικά με τον τρόπο αξιολόγησης και μετριασμού των κινδύνων στον κυβερνοχώρο.
Οι καλές πρακτικές που παρουσιάζονται βασίζονται σε σχόλια από ενδιαφερόμενους σιδηροδρομικούς φορείς. Περιλαμβάνουν εργαλεία, όπως λίστα περιουσιακών στοιχείων και υπηρεσιών, σενάρια κυβερνοαπειλής και ισχύοντα μέτρα κυβερνοασφάλειας, με βάση τα πρότυπα και τις καλές πρακτικές που χρησιμοποιούνται στον τομέα. Αυτοί οι πόροι μπορούν να χρησιμοποιηθούν ως βάση για τη διαχείριση κινδύνων στον κυβερνοχώρο για τις σιδηροδρομικές εταιρείες. Ως εκ τούτου, προορίζονται να αποτελέσουν σημείο αναφοράς και να προωθήσουν τη συνεργασία μεταξύ των ενδιαφερομένων σιδηροδρομικών φορέων σε ολόκληρη την ΕΕ, ευαισθητοποιώντας παράλληλα για τις σχετικές απειλές.
Cyber Risk Management
Για τη διαχείριση κινδύνων των συστημάτων σιδηροδρομικής τεχνολογίας πληροφοριών (IT), οι πιο αναφερόμενες προσεγγίσεις ήταν οι απαιτήσεις της Οδηγίας NIS σε εθνικό επίπεδο, η οικογένεια προτύπων ISO 2700x και το πλαίσιο ασφάλειας NIST στον κυβερνοχώρο.
Δεν υπάρχει ακόμη διαθέσιμη ενιαία προσέγγιση για τη διαχείριση του σιδηροδρομικού κινδύνου στον κυβερνοχώρο. Οι ενδιαφερόμενοι που συμμετείχαν σε αυτή τη μελέτη ανέφεραν ότι χρησιμοποιούν έναν συνδυασμό των προαναφερόμενων διεθνών και ευρωπαϊκών προσεγγίσεων για την αντιμετώπιση της διαχείρισης κινδύνου, τον οποίο στη συνέχεια συμπληρώνουν με εθνικά πλαίσια και μεθοδολογίες.
Για τη διαχείριση των κινδύνων στον κυβερνοχώρο από τις σιδηροδρομικές εταιρείες και τους διαχειριστές υποδομής, είναι απαραίτητο να προσδιοριστεί τι χρειάζεται προστασία. Σε αυτήν την έκθεση, μια περιεκτική λίστα αναλύεται σε 5 τομείς: τις υπηρεσίες που παρέχουν οι ενδιαφερόμενοι, τις συσκευές (τεχνολογικά συστήματα) που υποστηρίζουν αυτές τις υπηρεσίες, τον φυσικό εξοπλισμό που χρησιμοποιείται για την παροχή αυτών των υπηρεσιών, τα άτομα που τις συντηρούν ή τις χρησιμοποιούν και τα δεδομένα που χρησιμοποιούνται.
Ταξινομήσεις απειλών και σενάρια κινδύνου
Οι σιδηροδρομικές εταιρείες και οι διαχειριστές υποδομής πρέπει να προσδιορίζουν ποιες απειλές στον κυβερνοχώρο ισχύουν για τα περιουσιακά στοιχεία και τις υπηρεσίες τους. Η αναφορά εξετάζει τις διαθέσιμες ταξινομήσεις απειλών και παρέχει μια λίστα απειλών που μπορούν να χρησιμοποιηθούν ως βάση.
Αναλύονται επίσης παραδείγματα σεναρίων κινδύνων στον κυβερνοχώρο, τα οποία μπορούν να βοηθήσουν τους σιδηροδρομικούς φορείς κατά την εκτέλεση ανάλυσης κινδύνου. Δείχνουν πώς οι ταξινομίες περιουσιακών στοιχείων και απειλών μπορούν να χρησιμοποιηθούν μαζί και βασίζονται στα γνωστά περιστατικά του τομέα και στην ανατροφοδότηση που ελήφθη κατά τη διάρκεια των εργαστηρίων.
Εφαρμογή μέτρων κυβερνοασφάλειας
Κάθε σενάριο σχετίζεται με μια λίστα σχετικών μέτρων ασφαλείας. Η έκθεση περιλαμβάνει μέτρα κυβερνοασφάλειας που προέρχονται από την Οδηγία NIS, τρέχοντα πρότυπα (ISO/IEC 27002, IEC 62443) και καλές πρακτικές (πλαίσιο ασφάλειας στον κυβερνοχώρο του NIST).
