Di Emanuele Temi, Technical Sales Engineer di Nozomi Networks
Oltre al trasporto in sicurezza di passeggeri, lavoratori e merci, gli operatori ferroviari sono responsabili della sicurezza OT/IT di infrastrutture, edifici, sistemi di segnalazione e materiale rotabile, sempre nel rispetto di normative legislative complesse in continua evoluzione.
Reti ferroviarie sempre più connesse presentano nuove vulnerabilità
Una delle principali criticità riguarda la combinazione di apparecchiature obsolete con sistemi di controllo più recenti ed evoluti, risultanti dalla digitalizzazione dei sistemi di sicurezza avvenuta nel corso degli ultimi anni. Di conseguenza, oggi, il settore ferroviario opera con un ecosistema misto di asset OT e IoT digitali e legacy in una sovrabbondanza di ambienti che devono essere monitorati e standardizzati.
In parte, questo effetto deriva dal fatto che la vita operativa dei sistemi di controllo è particolarmente duratura, mentre requisiti aziendali, sistemi di supporto e vulnerabilità cambiano significativamente nel corso del tempo. Inoltre, i fornitori di servizi di terze parti gestiscono molti di questi nuovi asset computerizzati, limitandone di fatto la visibilità agli operatori ferroviari.
Sostituendo i dispositivi analogici con le loro controparti digitali collegate in rete, vengono indirettamente introdotte vulnerabilità informatiche che prima non esistevano. In aggiunta, l’enorme quantità di dati rende difficile stabilire quali siano le priorità cruciali da monitorare.
Gli attacchi informatici alle reti ferroviarie sono in aumento
Man mano che le reti ferroviarie diventano sempre più connesse, si creano nuove opportunità per hacker e terroristi informatici e aggressori state-sponsored.
Ad esempio, un attacco ransomware del 2022 ha preso di mira le Ferrovie dello Stato italiane, bloccando la vendita dei biglietti nelle stazioni, gli schermi informativi per i passeggeri e colpendo i tablet utilizzati dal personale ferroviario.
Nel novembre dello stesso anno, un altro cyberattacco ha colpito la DSB – compagnia ferroviaria nazionale danese – arrestando i treni per diverse ore. Un’indagine ha rivelato che l’interruzione è stata causata da un attacco nei confronti di un fornitore terzo che gestisce gli asset aziendali di DSB, di altre compagnie ferroviarie e fornitori di servizi di trasporto.
L’impatto di un cyberattacco può causare delle conseguenze molto gravi
La frequenza e la sofisticazione dei cyberattacchi sono destinate ad aumentare negli anni a venire. Gli attacchi ransomware sono stati recentemente sostituiti da schemi di doppia e tripla estorsione. Il guadagno finanziario è solo uno dei possibili moventi degli aggressori. Infatti, qualunque sia l’oggetto di un attacco, l’impatto di un incidente informatico su una rete ferroviaria con più treni provoca delle ripercussioni molto più ampie, colpendo l’economia, creando devastazione ambientale o causando feriti o perdite di vite umane.
Nel peggiore dei casi, i ricercatori hanno previsto che un attacco ben riuscito ai sistemi di controllo di un treno potrebbe causare oltre 100 morti. Il numero delle vittime potrebbe aumentare esponenzialmente se fossero coinvolti più treni o se fossero colpiti treni merci contenenti materiali pericolosi.
Quali le contromisure che i gestori di servizi ferroviari potrebbero mettere in atto?
-
Visibilità sugli asset
Una delle maggiori sfide per la sicurezza delle complesse reti di trasporto ferroviario è la comprensione di ciò che è presente sulla rete e l’anticipazione dei rischi. La visibilità sugli asset è un aspetto indispensabile della cybersecurity, ma è molto difficile da ottenere in ambienti OT non costruiti pensando alla cybersicurezza.
Secondo il Ponemon Institute, solo il 45% delle aziende intervistate è in grado di individuare e mantenere un inventario di tutti i dispositivi collegati alla rete OT durante l’intero ciclo di vita delle risorse.
Di conseguenza, gli amministratori in questo settore hanno bisogno di un inventario automatizzato degli asset e di un monitoraggio in tempo reale dei sistemi di gestione degli edifici, nonché delle infrastrutture ferroviarie in superficie e sotterranee, compresi sistemi di segnalazione e posizionamento dei treni, sottostazioni elettriche, ventilazione delle gallerie, TVCC e altro ancora.
-
Rilevamento delle minacce
Gli operatori ferroviari devono ridurre i rischi alla sicurezza all’interno di un panorama di minacce in costante evoluzione. Ovunque i componenti ferroviari siano collegati a una rete esterna, sono vulnerabili agli attacchi.
Nello scenario frammentato degli operatori ferroviari, non è sempre possibile identificare la fonte della violazione quando si verificano degli incidenti. Ma disporre di una soluzione in grado di fornire le più recenti informazioni su minacce, attacchi zero-day emergenti, malware, botnet e vulnerabilità note dei dispositivi consentirebbe agli operatori ferroviari di essere sempre un passo avanti rispetto agli hacker.
-
Scalabilità della gestione
Le reti ferroviarie si basano su un vasto numero di asset OT e IoT che possono essere distribuiti su centinaia di migliaia di chilometri. Con la continua sostituzione dei sistemi legacy con dispositivi connessi, l’inventario delle reti di asset OT/IoT è destinato ad aumentare.
Una soluzione di cybersecurity ferroviaria deve essere quindi in grado di scalare così da gestire un gran numero di sistemi OT/IoT, compresi quelli controllati da fornitori terzi. Per essere a prova di attacco, in futuro gli operatori ferroviari devono non solo proteggere le risorse esistenti, ma essere in grado di anticipare esigenze future.