欧洲铁路的7大网络安全挑战

总的来说，铁路行业员工对网络安全的意识仍然很低，基本服务经营者报告称，随着针对铁路部门的网络事件的增加和公开化，铁路行业员工对网络安全的意识正在缓慢提高。例如，在“NPetya”攻击之后，铁路行业的网络安全团队的数量开始增长。

在铁路行业，安全的重要性是不容置疑的。每次更新网络安全政策时，铁路行业的安全团队都需要确保安全机制保持统一，而这会导致铁路安全和网络安全人员之间的关系更加复杂。铁路安全与网络安全团队各自有相对独立的要求，会造成彼此间的相互矛盾。

例如，在管理网络安全的系统更新的情况下，过时的IT组件仍可能获得最高安全级别的认证。这表明，铁路安全与网络安全之间的需求差异不仅体现在技术层面，也体现在治理层面。

大多数铁路基本服务经营者目前正在进行数字化转型，大量的IT和IOT操作技术设备被引入铁路系统，但相应的采购、使用与管理较为匮乏。这些变化导致了新的网络安全漏洞。

在操作领域，网络资产、网络连接设备、软件开发应受到更多的重视。像IT系统一样，操作技术系统应该提供监控、监督和管理工具，甚至是嵌入式工具。此外，新的操作技术系统应该在设计上整合铁路安全和网络安全要求。

铁路基本服务经营者报告称，他们在系统更新、补丁管理和生命周期管理方面严重依赖于供应商和其他第三方(其中包括云服务供应商)。每个供应商可采用独立的技术来满足功能需求，而这将导致标准化的形成更加困难。

由于每个供应商对网络安全的需求和相关技能的认知各不相同，这导致操作技术系统中不同级别的网络安全难以统一。此外，NIS指令中没有针对供应商的规定，因此供应商在应用网络安全方面没有严格的法律标准。

铁路基础设施主要分布在各大城市之间，在这些地区，铁路系统和网络的关键节点需要最大的可用性，而在农村地区，保护和维护这些系统需要大量的经济成本。

此外，信息管理系统和铁路事业的管理存在许多遗留或过时的系统，为了实施网络安全措施，这些系统很难甚至进行升级。一些制造商甚至失去了升级这些系统的技术。

过时的操作技术要求程序、政策和人为干预补丁与更新，以确保足够的网络安全级别。新系统的生命周期管理更应涵盖网络安全，并应加以规划和预期。

铁路运输是一项公共服务，服务经营者必须保持票价尽可能低，否则旅客会选择其他交通方式。然而，与此同时，铁路服务经营者必须实施成本高昂的网络安全措施，且不能通过提高火车票价格来增加其收入。因此，铁路服务经营者在为网络安全项目预算时经常遇到重大的经济成本问题。

铁路需要信息管理系统在全国范围内进行投资，这些投资也需要由服务收入提供资金。相比之下，水运或航空运输不需要在整个领土内投资。

此外，加强信息管理系统的安全性可能会使数据流和系统变得复杂，如果出现任何问题(例如证书过期)，可能会严重影响系统性能与可用性。

对于一些铁路运营商来说，理解法律条规，尤其是NIS指令，可能很困难。一些报告指出，除了NIS指令之外，运营商还必须遵守欧盟内其他国家法律，如国家安全或关键基础设施法律。然而，此类法律法规应在整个欧盟统一，因为在多个管理系统中运行的运营商通常需要面临不同的合规要求。