13 listopada 2020 r. ENISA opublikowała raport „Railway cybersecurity. Security measures in the Railway Transport Sector”. W dokumencie przedstawiono obecny stan wdrożenia środków cyberbezpieczeństwa w sektorze kolejowych wynikających z implementacji Dyrektywy NIS wśród państw członkowskich. Raport zawiera dokładną listę podstawowych usług kolejowych oraz ogólny przegląd systemów wspierających kolej. W raporcie omówiono także europejski system zarządzania ruchem kolejowym, a także wskazano zalecenia dotyczące cyberbezpieczeństwa. Nie zabrakło również przedstawienia kontekstu regulacyjnego oraz wyzwań stojących przed sektorem. Wyniki przeprowadzonych badań jasno wykazują potrzebę wzmocnienia środków w zakresie cyberbezpieczeństwa. Publikacja ENISA opiera się na danych zebranych od operatorów usług kluczowych z 21 państw członkowskich UE w przeciągu ostatnich dwóch lat.

Regulacje prawne sektora kolejnictwa w zakresie cyberbezpieczeństwa

Sektor kolejowy jest historycznie związany przepisami kontrolującymi interoperacyjność, bezpieczeństwo, zarządzanie i certyfikację towarów niebezpiecznych. Trzy ogólne priorytety, wyznaczone przez Komisję Europejską, dla sektora transportu to:

• otwarcie rynku transportu kolejowego na konkurencję,
• poprawa interoperacyjności i bezpieczeństwa sieci krajowych,
• rozwój infrastruktury kolejowej.

Główne kierunki działania i rozwoju sektora kolejnictwa nie uwzględniają jednak w pełni wszystkich kwestii związanych z bezpieczeństwem, w szczególności tych dotyczących cyberbezpieczeństwa. Obowiązujące przepisy dotyczące cyberbezpieczeństwa są bardzo ogólne i w dużej mierze dotyczą jednocześnie wszystkich rynków, nie uwzględniając specyfiki omawianego sektora.

Obecnie kilka organów[1] określa i egzekwuje przepisy dotyczące sektora kolejowego, zarówno w kwestii bezpieczeństwa ogólnego, jak i szczegółowego jakim jest obszar cyberbezpieczeństwa. Przepisy obejmują zarówno poziom krajowy, jak i regulacje o charakterze ogólnym, międzynarodowym. Pierwszym dokumentem na skalę międzynarodową obowiązującym w zakresie cyberbezpieczeństwa w sektorze kolejnictwa była Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa NIS) Zawiera ona przepisy dotyczące sektora kolejowego.

W dyrektywie NIS wyróżniono następujące podmioty świadczące usługi kluczowe w sektorze kolejowym:

• Zarządca infrastruktury w rozumieniu art. 3 pkt 2 dyrektywy oznacza każdy podmiot lub przedsiębiorstwo, które są odpowiedzialne w szczególności za założenie infrastruktury kolejowej, zarządzanie nią i jej utrzymanie, w tym za prowadzenie ruchu pociągów, urządzenia bezpiecznej kontroli jazdy i urządzenia sterowania ruchem kolejowym (srk); funkcje zarządcy infrastruktury na sieci lub części sieci mogą być przydzielane różnym podmiotom lub przedsiębiorstwom.
• W tym samym dokumencie przedsiębiorcą kolejowym w art. 3 pkt 1 dyrektywy określono każde przedsiębiorstwo publiczne lub prywatne, posiadające licencję zgodnie z niniejszą dyrektywą, którego działalność podstawowa polega na świadczeniu usług w transporcie towarowym lub pasażerskim koleją, z zastrzeżeniem, że przedsiębiorstwo to zapewnia pojazdy trakcyjne; obejmuje to także przedsiębiorstwa, które tylko dostarczają pojazdy trakcyjne.
• Włączając w to operatorów obiektów infrastruktury usługowej określonych w art. 12 pkt 12, którzy zapewniają wszystkim przedsiębiorstwom kolejowym, na niedyskryminacyjnych zasadach, dostęp, w tym również dostęp do torów, do obiektów, o których mowa w załączniku II pkt 2, oraz do usług świadczonych w tych obiektach.

Na kwestię konieczności zwiększenia bezpieczeństwa w cyberprzestrzeni zwraca uwagę również UIC – Międzynarodowy Związek Kolei[2]. W 2018 roku Związek na międzynarodowym forum podjął temat  cyberbezpieczeństwa w sektorze transportu kolejowego, a także umieścił adnotacje dotyczącą sektora w swoim raporcie[3]. Ponadto w ramach programu „Horyzont 2020” powstało wspólne przedsięwzięcie Shift2Rail, które jest partnerstwem publiczno-prywatnym służącym do projektowania, koordynowania i przeprowadzania działań związanych z badaniami naukowymi i innowacjami wspierającymi podnoszenie poziomu usług kolejowych w Europie. Inicjatywa ta realizowała również projekty związane z podnoszeniem poziomu cyberbezpieczeństwa. 

 ENISA a sektor kolejowy

ENISA ściśle współpracuje z przedsiębiorstwami kolejowymi i zarządcami infrastruktury w zakresie wdrażania dyrektywy NIS w sprawie bezpieczeństwa sieci i informacji, a także z Europejską Agencją Kolejową w zakresie bezpieczeństwa cybernetycznego dotyczącą projektu Europejskiego Systemu Zarządzania Ruchem Kolejowym. Agencja wspiera również Europejskie Centrum Wymiany Informacji o Kolejach (ER-ISAC) oraz oferuje wiedzę specjalistyczną w ramach komitetu technicznego CEN CENELEC ds. specyfikacji technicznych dla kolei[4].

W zeszłym roku Agencja połączyła siły z ERA, Komisją Europejską (DG MOVE), Europejską Agencją Bezpieczeństwa Lotniczego (EASA) i Europejską Agencją Bezpieczeństwa Morskiego (EMSA) w celu zorganizowania pierwszej konferencji na temat bezpieczeństwa cybernetycznego w transporcie, podczas której organizacje międzynarodowe, prywatny przemysł, organy właściwe, środowiska naukowe oraz kierownictwo zdecentralizowanych agencji UE i Komisja Europejska podkreśliły potrzebę zwiększenia bezpieczeństwa cybernetycznego w europejskim sektorze transportu.

Obecny stan cyberbezpieczeństwa w europejskim sektorze transportu kolejowego

Rosnąca sieć wzajemnych połączeń, nowe technologie oraz coraz większy stopień cyfryzacji sprawiają, że sektor kolejowy jest obecnie w trakcie znaczących wewnętrznych przemian. Transformacji podlega zarówno model biznesowy, jak i infrastruktura, w tym również ta dotycząca systemów informatycznych.

Do tej pory sektor kolejowy nie był bezpośrednim celem cyberataków, odnotowano jednak już kilka poważniejszych incydentów, pokazujących podatność sektora. Należy zakładać, że w niedalekiej przyszłości ataków może być znacznie więcej i o większej sile oddziaływania.

Według respondentów[5] sprawozdania najbardziej krytycznymi systemami w sektorze kolejnictwa są systemy bezpieczeństwa i ochrony oraz systemy operacyjne. W skład pierwszych wchodzą m.in. systemy kontroli, nadzór wideo, systemy akredytacji personelu, bazy danych. Systemy operacyjne to np. sygnalizacja, sterowanie rozkładami czy telekomunikacja.

Wyzwania i konkluzje

Zgodnie z badaniami i wywiadami przeprowadzonymi w ramach opublikowanego sprawozdania, ogólne wnioski i konkluzje w zakresie wdrożenie dyrektywy NIS w odniesieniu do operatorów usług kluczowych (OES) w sektorze kolejowym są następujące:

• podmioty z sektora kolejowego muszą znaleźć równowagę pomiędzy wymogami operacyjnymi, konkurencyjnością przedsiębiorstw a cyberbezpieczeństwem,
• przedsiębiorstwa z branży kolejowej są ściśle powiązane ze swoimi dostawcami o zróżnicowanych standardach technicznych oraz zdolnościach w zakresie cyberbezpieczeństwa, zwłaszcza w przypadku technologii operacyjnych, co sprawia, że trzeba uwzględnić tę specyfikę w procesie wzmacniania poziomu bezpieczeństwa,
• systemy technologii operacyjnej dla kolei zostały oparte na systemach, które w czasach ich wdrażania były zgodne z najwyższymi standardami techniki i bezpieczeństwa, jednak ze względu na długą ich żywotność obecnie przestają (bądź już przestały) być aktualne i spełniać wymogi bezpieczeństwa. Dodatkowo systemy te są rozporoszone w całej sieci, co sprawia, że nie są często ze sobą kompatybilne, a to utrudnia kompleksowe kontrolowanie cyberbezpieczeństwa.
• problemem w sektorze kolejnictwa jest również niska świadomość w zakresie konieczności podnoszenia poziomu cyberbezpieczeństwa,
• ponadto istniejące przepisy dotyczące sektora kolei w niskim stopniu bądź w ogóle nie obejmują przepisów w zakresie cyberbezpieczeństwa. Operatorzy usług kluczowych muszą  często spełniać niezharmonizowane wymogi w zakresie cyberbezpieczeństwa wynikające z różnych regulacji prawnych.

Dalsze kroki

Aby sprostać części z wyżej wymienionych wyzwać, które zostały przedstawione w opublikowanym sprawozdaniu, ENISA wraz z Międzynarodowym Związkiem Kolei podejmuje inicjatywy, których celem jest zwiększenie cyberbezpieczeństwa w sektorze. Działania mają miejsce na kilku płaszczyznach – standaryzacji, regulacji oraz zmiany sposobu myślenia.

Standaryzacja

Na froncie normalizacji, Komitet Techniczny CENELEC 9X finalizuje europejską specyfikację techniczną TS 50701, której celem jest wprowadzenie wymogów, jak również przedstawienie zaleceń w zakresie cyberbezpieczeństwa w obrębie sektora kolejowego. Uznaje się, że aktualizacja specyfikacji technicznych ERTMS obejmuje większe bezpieczeństwo cyberprzestrzeni, uznając za priorytet zwiększenie bezpieczeństwa interfejsów komunikacyjnych pomiędzy różnymi komponentami.

Regulacje

Komisja Europejska oraz państwa członkowskie z pomocą ENISA, działają na rzecz sprostania wyzwaniom w zakresie podnoszenia poziomu cyberbezpieczeństwa, zwłaszcza tym, które dotyczą polityki i kontekstu regulacyjnego. Równolegle, państwa członkowskie monitorują wprowadzanie w życie środków bezpieczeństwa, a także wspierają operatorów usług kluczowych w obszarach, które wymagają poprawy. Również publikowanie raportów przez ENISA przyczynia się do podnoszenia świadomości na temat sektora.

16 grudnia br. Komisja Europejska zaproponowała nowy projekt tzw. Dyrektywę NIS 2, który również uwzględnia sektor transportu kolejowego. NIS 2 obejmuje dwa typy podmiotów: podmioty kluczowe (essential entities) i podmioty ważne (important entities). Sektor kolejowy został zakwalifikowany jako podmiot kluczowy.  Zwiększeniu uległ zakres obowiązków nałożonych przez Dyrektywę NIS 2. Zarówno podmioty kluczowe, jak i podmioty ważne, będą miały obowiązki związane z zapewnieniem:

• analizy ryzyka i polityki bezpieczeństwa systemów informatycznych,
• obsługi incydentów (zapobieganie, wykrywanie i reagowanie na incydenty);
• ciągłości działania i zarządzania kryzysowego
• bezpieczeństwa łańcucha dostaw,
• bezpieczeństwa w pozyskiwaniu, rozwijaniu i utrzymywaniu sieci i systemów informatycznych(w tym obsługa i ujawniania podatności),
• procedur (testowanie i audyt) służące ocenie skuteczności środków zarządzania ryzykiem cyberbezpieczeństwa,
• wykorzystywania kryptografii i szyfrowania.

Obecnie trwają konsultacje projektu.

Zmiana sposobu myślenia

Sposoby działania i postrzegania konieczności wzmocnienia cyberbezpieczeństwa w sektorze kolejowym powoli ewoluują. Odpowiednie standardy są implementowane do projektowania IT i OT dla systemów transportowych. Kultura cyberbezpieczeństwa rozwija się wśród operatorów usług kluczowych oraz ich dostawców. Nad zmianą nastawienia trzeba będzie jednak sukcesywnie pracować.

Podsumowanie

1. ENISA opracowała niniejszy raport we współprac z PCz, Zarządcami Infrastruktury, przedsiębiorstwami kolejowymi, jednostkami rządowymi oraz certyfikującymi.
2. Opublikowanie sprawozdania ENISA ma na celu wskazanie najbardziej istotnych problemów przed którymi stoi europejski sektor transportu kolejowego.
3. W dokumencie przedstawiono wyniki badań i wyzwania stojące przed sektorem.
4. Zgodnie z badaniami i wywiadami przeprowadzonymi w ramach opublikowanego sprawozdania, ogólne wnioski i konkluzje w zakresie wdrożenia dyrektywy NIS w odniesieniu do operatorów usług kluczowych (OES) w sektorze kolejowym są następujące:
   • niska świadomość w zakresie cyberbezpieczeństwa,
   • trudności w pogodzeniu kwestii bezpieczeństwa z cyberbezpieczeństwem,
   • cyfrowe przekształcenie podstawowej działalności kolejowej,
   • złożone zależność i uzależnienie od łańcucha dostaw w zakresie cyberbezpieczeństwa,
   • geograficzne rozproszenie infrastruktury kolejowej i istnienie dużej liczby obecnych systemów,
   • potrzeba równowagi między bezpieczeństwem, konkurencyjnością i wydajnością operacyjną,
   • wyzwania związane z technologią operacyjną,
   • złożoność przepisów dotyczących cyberbezpieczeństwa.
5. Aby sprostać części z wyżej wymienionych wyzwać ENISA podejmuje inicjatywy, których celem jest zwiększenie cyberbezpieczeństwa w sektorze. Działania mają miejsce na kilku płaszczyznach – standaryzacji, polityki oraz zmiany sposobu myślenia.
6. Komisja Europejska zaproponowała nowy projekt tzw. Dyrektywę NIS 2, który również uwzględnia sektor transportu kolejowego.

---

[1] Wśród najważniejszych należy wymienić – na międzynarodowym poziomie: OSJD, OTIF, UNECE. Na poziome europejskim: Komisja Europejska, Parlament Europejski, Rada Europejska, Europejska Agencja Kolejowa, ENISA oraz na poziome krajowym: narodowe agencje bezpieczeństwa, organy ścigania, jednostki ds. cyberbezpieczeństwa. 

[2] Organizacja zrzeszająca przedsiębiorstwa zajmujące się transportem kolejowym i reprezentująca je na arenie międzynarodowej. 

[3] Zob. uic_activity_report_2018.pdf

[4] CEN CENELEC (Europejski Komitet Normalizacyjny Elektrotechniki) powstał w 1973 roku. Obecnie jest prywatnym stowarzyszenie technicznym typu „non-profit” i stanowi platformę dla rozwoju norm europejskich i innych specyfikacji technicznych w różnych sektorach.

[5] W badaniu uwzględniono 41 odpowiedzi, w tym 29 odpowiedzi od Operatorów Usług Kluczowych (71%). Z czego 21% odpowiedzi to respondenci Państw Członkowskich (Austria, Belgia, Bułgaria, Chorwacja, Republika Czeska, Dania, Estonia, Finlandia, Francja, Niemcy, Grecja, Węgry, Włochy, Łotwa, Litwa, Luksemburg, Polska, Portugalia, Rumunia, Hiszpania, Szwecja) oraz Norwegia. 48% respondentów to Zarządcy Infrastruktury, 24% to przedsiębiorstwa kolejowe, a 28% to organizacje pełniące obie funkcje. Respondenci spoza OUK (łącznie 12, 29%) reprezentują jednostki certyfikujące, firmy z grupy przemysłu kolejowego, jednostki rządowe lub przedsiębiorstwa kolejowe, którzy nie są określeni jako OUK.