Evolução da cibersegurança na infraestrutura ferroviária
Introdução
No contexto do Mês Europeu da Cibersegurança, é necessário sublinhar que a Cibersegurança não é apenas uma questão técnica, mas também uma questão de responsabilidade e garantia dos padrões civilizacionais da Sociedade moderna. À medida que o incremento da utilização das tecnologias digitais nos setores-chave da Sociedade aumenta, novas ameaças emergem, tornando a Cibersegurança uma prioridade máxima.
Nos últimos anos, a indústria dos transportes e a infraestrutura ferroviária em particular, passaram por uma transformação digital muito significativa. Esta evolução trouxe por um lado mais eficiência, sustentabilidade e atratividade para os utilizadores, mas também uma exposição acrescida a ataques.
Estes ataques podem comprometer a circulação ferroviária, produzindo impactos negativos do ponto de vista operacional originado pela indisponibilidade da infraestrutura e interrupção da circulação, financeiro com a consequente perda de receitas, custos associados à remediação e coimas aplicadas pelos reguladores, sociais devido à redução na mobilidade dos utentes, afetando as suas vidas pessoais e profissionais e reputacional com a consequente perda de confiança do utente nos serviços de transporte.
Neste contexto, a proteção das infraestruturas críticas, incluindo a infraestrutura ferroviária, tem tido um acompanhamento constante por parte da União Europeia, nomeadamente com a publicação das diretivas NIS e NIS2, que impõem requisitos rigorosos de proteção aos operadores de serviços essenciais, incluindo os de transporte.
Tendo como base a transposição nacional da directiva NIS2 e para garantir a implementação das obrigações legais é fundamental que todas as organizações envolvidas no sector ferroviário, indústria, gestores de infraestrutura, operadores e restantes agentes, estejam prontos a investir de forma contínua em atualizações, formação e adoção de soluções avançadas de proteção com o objectivo de permanecer à frente das ameaças emergentes e garantir a proteção dos sistemas ferroviários contra ataques cibernéticos.
Compete aos fornecedores das tecnologias acompanhar este esforço desenvolvendo soluções robustas, que assegurem a protecção e a operacionalidade destas infraestruturas críticas, mesmo em situações de ataque cibernético, minimizando o seu impacto e garantindo sempre a segurança e bem-estar dos utilizadores.
As particularidades dos Sistemas Ferroviários
Os sistemas ferroviários são desenhados para garantirem a segurança na gestão da circulação do tráfego ferroviário mesmo em situação de falha técnica dos equipamentos e/ou falha de operação, tendo como fundamento intrínseco a proteção da vida humana e da infraestrutura, de acordo com os princípios de Segurança Intrínseca. Para tal, são integrados na conceção destes sistemas, mecanismos de validação, redundância e diversidade que garantem a integridade e segurança da circulação ferroviária. Além da segurança intrínseca, a Cibersegurança desempenha um papel fundamental, proporcionando uma camada adicional de proteção que garante a continuidade e a resiliência da infraestrutura ferroviária perante possíveis ameaças cibernéticas.
As soluções e procedimentos de Cibersegurança disponíveis no mercado para o setor das tecnologias de informação (TIC) revelam-se inadequados para o ambiente ferroviário, uma vez que não consideram o impacto sobre a segurança intrínseca desses sistemas. Qualquer atualização de segurança num sistema de sinalização exige uma análise extensa do impacto ao nível do software de todos os diferentes produtos e arquitetura da solução implementada, bem como a respetiva validação pelas entidades competentes, de modo a garantir que a segurança intrínseca dos sistemas ferroviários e da solução como um todo não é afetada.
Adicionalmente, a longevidade dos sistemas de uma infraestrutura ferroviária, alguns com mais de 20 anos de operação, representam um desafio adicional à estrutura de proteção de Cibersegurança a instalar. Grande parte dos sistemas em operação foram desenhados no final dos anos 90 e início da década de 2000, quando o tema dos ataques de Cibersegurança ainda não tinham o impacto que têm atualmente, mas a necessidade de conectividade já se fazia sentir.
Há, pois, que desenhar e implementar soluções de Cibersegurança que se adequem a este cenário complexo.
A proteção dos sistemas ferroviários, exige por isso a implantação de soluções abrangentes que incluam soluções de monitorização contínua dos sistemas, segmentação das redes, implementação de sistemas de autenticação multi-factor, utilização de mecanismos de análise em tempo real e gestão eficaz de vulnerabilidades, que facilitem a deteção e resposta rápida e automatizada a incidentes de Cibersegurança.
Neste contexto, a Hitachi Rail tem desenvolvido soluções especificas para os sistemas utilizados nas infraestruturas ferroviárias, nomeadamente nas componentes de sinalização ferroviária e informação ao público. Estas soluções permitem monitorizar em tempo real, a integridade e autenticidade do funcionamento dos sistemas, possibilitando assim a deteção imediata de possíveis ataques cibernéticos. Por outro lado, o registo contínuo do funcionamento dos sistemas permite realizar análises forenses detalhadas de qualquer anomalia operacional de funcionamento por forma a ser possível melhorar os processos de segurança implementados.
Estas soluções oferecem a capacidade de monitorização de sistemas ferroviários sem comprometer a certificação de segurança intrínseca das soluções em operação.
O Futuro
A Cibersegurança está em constante evolução, e o desenvolvimento de sistemas seguros desde a sua conceção, utilizando o conceito de Security by Design, como base para garantir a robustez e resiliência das infraestruturas críticas no futuro são uma prática na Hitachi Rail.
O cumprimento das normas internacionais, como a IEC 62443, são essenciais para garantir que novos sistemas são projetados com mecanismos de segurança robustos, bem como guia para a modernização da segurança das infraestruturas críticas existentes, uma vez que muitas delas contam já com décadas de operação e enfrentam hoje, ameaças para as quais não foram projetadas.
Uma questão de cultura
Tal como referido no início do artigo, a Cibersegurança não se restringe às questões técnicas.
Também as Organizações e as Pessoas têm que se consciencializar quanto à necessidade imperiosa da construção de uma cultura de Cibersegurança. Sendo que os colaboradores são normalmente o elo mais fraco na cadeia de segurança é essencial haver um investimento continuo na informação e formação de todos os colaboradores assim como dos parceiros que colaboram no mesmo ecossistema.
À liderança das empresas cumpre também um papel chave neste processo, ao promover e dar o exemplo tanto na criação e adoção de políticas de segurança claras, bem como ao incentivar e reconhecer que uma cultura de Cibersegurança contribui para aumentar a maturidade de uma organização.
A proteção e a Cibersegurança são responsabilidades coletivas.
Proteger hoje significa garantir que estamos preparados para os desafios de amanhã, assegurando a continuidade de setores críticos, como os transportes e a segurança da nossa sociedade.
Defend today, secure tomorrow.
