Le reti ferroviarie sono sempre più connesse e, come abbiamo visto, sono il bersaglio preferito di hacker senza scrupoli. E le cose potrebbero peggiorare se non si agisce immediatamente ad arginare criticità e vulnerabilità del settore ferroviario. Emanuele Temi, Technical Sales Engineer di Nozomi Networks condivide alcune best practice da prendere in considerazione.
Cybersicurezza per le reti ferroviarie
Oltre al trasporto in sicurezza di passeggeri, lavoratori e merci, gli operatori del settore ferroviario sono responsabili della sicurezza OT/IT di infrastrutture, edifici, sistemi di segnalazione e materiale rotabile, sempre nel rispetto di normative legislative complesse in continua evoluzione.
Reti ferroviarie sempre più connesse presentano nuove vulnerabilità
Una delle principali criticità riguarda la combinazione di apparecchiature obsolete con sistemi di controllo più recenti ed evoluti, risultanti dalla digitalizzazione dei sistemi di sicurezza avvenuta nel corso degli ultimi anni. Di conseguenza, oggi, il settore ferroviario opera con un ecosistema misto di asset OT e IoT digitali e legacy in una sovrabbondanza di ambienti che devono essere monitorati e standardizzati.
In parte, questo effetto deriva dal fatto che la vita operativa dei sistemi di controllo è particolarmente duratura, mentre requisiti aziendali, sistemi di supporto e vulnerabilità cambiano significativamente nel corso del tempo. Inoltre, i fornitori di servizi di terze parti gestiscono molti di questi nuovi asset computerizzati, limitandone di fatto la visibilità agli operatori del ferroviario.
Sostituendo i dispositivi analogici con le loro controparti digitali collegate in rete, vengono indirettamente introdotte vulnerabilità informatiche che prima non esistevano. In aggiunta, l’enorme quantità di dati rende difficile stabilire quali siano le priorità cruciali da monitorare.
Gli attacchi informatici al settore ferroviario sono in aumento
Man mano che le reti ferroviarie diventano sempre più connesse, si creano nuove opportunità per hacker e terroristi informatici e aggressori state-sponsored.
Ad esempio, un attacco ransomware del 2022 ha preso di mira le Ferrovie dello Stato italiane, bloccando la vendita dei biglietti nelle stazioni, gli schermi informativi per i passeggeri e colpendo i tablet utilizzati dal personale ferroviario.
Nel novembre dello stesso anno, un altro cyberattacco ha colpito la DSB – compagnia ferroviaria nazionale danese – arrestando i treni per diverse ore. Un’indagine ha rivelato che l’interruzione è stata causata da un attacco nei confronti di un fornitore terzo che gestisce gli asset aziendali di DSB, di altre compagnie ferroviarie e fornitori di servizi di trasporto.
L’impatto di un cyberattacco può causare delle conseguenze molto gravi
La frequenza e la sofisticazione dei cyberattacchi contro il settore ferroviario sono destinate ad aumentare negli anni a venire. Gli attacchi ransomware sono stati recentemente sostituiti da schemi di doppia e tripla estorsione. Il guadagno finanziario è solo uno dei possibili moventi degli aggressori. Infatti, qualunque sia l’oggetto di un attacco, l’impatto di un incidente informatico su una rete ferroviaria con più treni provoca delle ripercussioni molto più ampie, colpendo l’economia, creando devastazione ambientale o causando feriti o perdite di vite umane.
Nel peggiore dei casi, i ricercatori hanno previsto che un attacco ben riuscito ai sistemi di controllo di un treno potrebbe causare oltre 100 morti. Il numero delle vittime potrebbe aumentare esponenzialmente se fossero coinvolti più treni o se fossero colpiti treni merci contenenti materiali pericolosi.
Sicurezza del settore ferroviario: le contromisure da mettere in atto
- Visibilità sugli asset. Una delle maggiori sfide per la sicurezza delle complesse reti del settore ferroviario è la comprensione di ciò che è presente sulla rete e l’anticipazione dei rischi. La visibilità sugli asset è un aspetto indispensabile della cybersecurity, ma è molto difficile da ottenere in ambienti OT non costruiti pensando alla cybersicurezza. Secondo il Ponemon Institute, solo il 45% delle aziende intervistate è in grado di individuare e mantenere un inventario di tutti i dispositivi collegati alla rete OT durante l’intero ciclo di vita delle risorse. Di conseguenza, gli amministratori in questo settore hanno bisogno di un inventario automatizzato degli asset e di un monitoraggio in tempo reale dei sistemi di gestione degli edifici, nonché delle infrastrutture ferroviarie in superficie e sotterranee, compresi sistemi di segnalazione e posizionamento dei treni, sottostazioni elettriche, ventilazione delle gallerie, TVCC e altro ancora.
- Rilevamento delle minacce. Gli operatori del settore ferroviario devono ridurre i rischi alla sicurezza all’interno di un panorama di minacce in costante evoluzione. Ovunque i componenti ferroviari siano collegati a una rete esterna, sono vulnerabili agli attacchi. Nello scenario frammentato degli operatori ferroviari, non è sempre possibile identificare la fonte della violazione quando si verificano degli incidenti. Ma disporre di una soluzione in grado di fornire le più recenti informazioni su minacce, attacchi zero-day emergenti, malware, botnet e vulnerabilità note dei dispositivi consentirebbe agli operatori ferroviari di essere sempre un passo avanti rispetto agli hacker.
- Scalabilità della gestione. Le reti ferroviarie si basano su un vasto numero di asset OT e IoT che possono essere distribuiti su centinaia di migliaia di chilometri. Con la continua sostituzione dei sistemi legacy con dispositivi connessi, l’inventario delle reti di asset OT/IoT è destinato ad aumentare. Una soluzione di cybersecurity ferroviaria deve essere quindi in grado di scalare così da gestire un gran numero di sistemi OT/IoT, compresi quelli controllati da fornitori terzi. Per essere a prova di attacco, in futuro gli operatori del settore ferroviario devono non solo proteggere le risorse esistenti, ma essere in grado di anticipare esigenze future.
di Emanuele Temi, Technical Sales Engineer di Nozomi Networks
