As tecnologias digitais estão a transformar praticamente todos os aspetos das operações ferroviárias, desde os sistemas de sinalização ferroviário, gestão de tráfego ferroviário, sistemas de bilhética até aos sistemas de conforto ao passageiro. No entanto, a transformação digital traz novos tipos de ameaças – nomeadamente, o risco de ataques cibernéticos. Isto significa que existe uma necessidade de concentrar os esforços na proteção da infraestrutura ferroviária, na gestão de riscos cibernéticos e na manutenção contínua da proteção cibernética.
Os riscos são reais. Houve 14 ataques cibernéticos publica-mente conhecidos em infraestruturas ferroviárias na Europa e na América do Norte desde 2016, quase metade das quais ocor-reram desde o surto de Covid-19 no início de 2020.
Este novo paradigma acontece num contexto de aumento das ameaças cibernéticas e da introdução iminente de novos regulamentos de segurança cibernética, tanto ao nível da Comunidade Europeia, como ao nível da legislação nacional.
Consequências de um ataque ciber
Os principais impactos de um ciber ataque no sector do transporte ferroviário são: impacto operacional (interrupção da circulação), impacto financeiro (perda de receitas, custos associados à remediação e coimas aplicas pelos reguladores) e impacto reputacional (perda de confiança do utente dos transportes).
Um ponto-chave a ter em consideração é que praticamente qualquer sistema conectado pode ser alvo de um ataque cibernético. No período 2016-2022, os sistemas alvo de ataques incluíram os sistemas de bilhética, Wi-Fi, sistemas de informação do passageiro, sistemas de vídeo vigilância, e-mail, sistemas de telefonia, sistemas de gestão e servidores corporativos.Nos últimos cinco anos, foram identificados quatro tipos de ciber ataques: ransomware, negação de serviço, roubo de dados e intrusão.
Verifica-se uma tendência para ataques cibernéticos de alto impacto a sistemas não críticos, como os sistemas de emissão de bilhetes e informação ao passageiro (PIS), produzindo já um impacto significativo na operação da infraestrutura ferroviária, não impedindo, no entanto, a continuidade da prestação do serviço de transporte. Já um ataque a um sistema de sinalização ferroviário irá provocar uma falha de serviço generalizada na circulação ferroviária e logo uma disrupção severa na prestação do serviço.
Os ataques de ransomware são o tipo mais comum de ataques à infraestrutura ferroviária, sendo responsáveis por quase metade dos ataques cibernéticos relatados pela indústria ferroviária. Num exemplo recente, centenas de máquinas de venda de bilhetes foram colocadas fora de serviço numa suspeita de ataque de ransomware a um operador ferroviário da Europa Ocidental.
A COVID aumentou o risco de ciber ataques devido à mudança para o trabalho remoto que cria novas oportunidades para atacantes cibernéticos. Os hackers podem tentar infiltrar-se nos sistemas, recorrendo ao roubo das credenciais de acessos dos funcionários, comprometendo os seus dispositivos ou violando pontos de acesso remoto. Por exemplo, uma violação de acesso remoto ocorreu em abril de 2021 na América do Norte, quando os sistemas informáticos de um operador de transporte público foram infiltrados por um ataque que persistiu por vários dias.
Compreendo os desafios
A gestão da cibersegurança nas redes ferroviárias apresenta uma série de desafios. Um deles passa pela gestão de vulnerabilidades em sistemas de sinalização responsáveis pela segurança da circulação ferroviária. A instalação de atualizações de software em sistemas de segurança requer um planeamento e análise aprofundada para não comprometer a segurança intrínseca dos sistemas utilizados no controlo da circulação ferroviária.A infraestrutura digital utilizada pelos operadores ferroviários é cada vez mais complexa e diversificada, abrangendo, desde sistemas de sinalização críticos para a segurança da circulação ferroviária até às redes IIoT (Internet Industrial das Coisas) de rápido crescimento. A legislação tem sido reforçada em inúmeros países e os regulamentos sobre a gestão da proteção cibernética em sectores críticos da sociedade, infraestruturas e serviços essenciais, incluindo a infraestrutura ferroviária. Ao nível da União Europeia, com a publicação da diretiva NIS (Segurança das Redes e da Informação) e a transposição nacional através do DL nº65/2021, os operadores das infraestruturas ferroviárias já têm um conjunto de obrigações com o objetivo de melhorar a proteção contra-ataques ciber, nomeadamente:
Com o objetivo de melhorar a proteção das infraestruturas críticas, a União Europeia preparou uma nova diretiva – NIS 2 – que irá substituir a diretiva NIS e que irá entrar em vigor até outubro de 2024. A nova diretiva define um conjunto alargado de novas obrigações, nomeadamente:
• Modelo de Governo e Gestão de Risco Políticas de Segurança e Formação
• Gestão de Incidentes e Notificação
• Gestão de Crise e Continuidade de Negócio
• Gestão de Risco TIC na cadeia de abastecimento (Produtos, Sistemas e Serviços)
• Gestão de Ativos
• Security by Design• Gestão de Acessos e Comunicações Seguras
A importância da manutenção integrada
Verifica-se uma tendência para a implementação de sistemas interligados utilizando múltiplas tecnologias de TI. Há boas razões para o fazer, porque a combinação de diferentes tecnologias tem o potencial de proporcionar sinergias significativas. Por exemplo, a comunicação entre o sistema de gestão da circulação ferroviária (Traffic Management System) e um sistema de sinalização ferroviário, permite otimizar a capacidade da rede ferroviária, aumentando simultaneamente a eficiência energética e reduzindo as emissões de carbono.
Um ponto-chave deste exemplo é que mostra a dependência crescente entre sistemas críticos de segurança (como os sistemas de sinalização) e sistemas de gestão que não são críticos para a segurança da circulação ferroviária, como seja o sistema de gestão da circulação ferroviária (TMS). Além disso, cada um dos sistemas tem um ciclo de vida distinto em termos de hardware e software.
A tecnologia do sistema de aconselhamento ao condutor (DAS) é outro exemplo da tendência de aumento das interconexões entre sistemas. Quando a tecnologia DAS foi lançada, foi desenhada para operar em modo autónomo. O surgimento do sistema de aconselhamento ao condutor conectado (C-DAS), no qual o DAS está interligado ao TMS oferece enormes benefícios em termos de cumprimento de horários e economia de energia.
Mas, tal como acontece com a ligação entre os sistemas de sinalização e o sistema de gestão da circulação ferroviária (TMS), a ligação C-DAS/TMS requer uma nova abordagem à manutenção da proteção cibernética. Ambas as plataformas C-DAS e TMS têm ciclos de vida diferentes e, em alguns casos, fornecedores diferentes. Neste exemplo, a segurança intrínseca não é um fator critico porque nem o C-DAS nem o TMS são sistemas críticos para a segurança da circulação. No entanto, tanto o C-DAS como o TMS são sistemas importantes porque contribuem para a eficiência global do sistema ferroviário.
À medida que a infraestrutura ferroviária fica cada vez mais dependente da integração entre diferentes plataformas, é crucial assegurar a manutenção da proteção cibernética de forma holística, e não em silos.
O Futuro
A necessidade de assegurar a proteção dos sistemas utilizados na infraestrutura ferroviária irá refletir-se no desenho da nova geração de sistemas. O incremento da necessidade de comunicação entre componentes e a sua exposição aumentada a ataques ciber necessita de uma abordagem mais sistemática no desenho de novos sistemas relativamente à componente de proteção ciber.
A chave é garantir que os sistemas passem a ser desenhados com base no conceito de “Security by Design”. O desenvolvimento do conceito de “Security by Design” poderá ser suportado pela norma internacional IEC 62443 que define um conjunto de requisitos que asseguram uma robustez nativa dos produtos e sistemas contra-ataques ciber. A norma identifica três princípios fundamentais para melhorar a proteção dos sistemas ferroviários contra-ataques ciber:
• A definição requisitos de segurança – identificação e controlo de acessos, controlo de utilização, integridade dos sistemas, confidencialidade dos dados, limitação dos fluxos de dados, resposta adequada aos eventos de segurança e disponibilidade da infraestrutura
• O conceito de defesa em profundidade, com a implementação de múltiplas camadas defensivas em todo o sistema, incluindo físicas, lógicas e controlos administrativos.
• O conceito de compartimentação do sistema em zonas e subzonas. As zonas são classificadas de acordo ao seu nível de segurança e as subzonas disponibilizam um caminho seguro para os fluxos de dados entre zonas.
Os sistemas desenhados de acordo com estes princípios não são apenas intrinsecamente mais seguros, mas também mais fáceis de manter do ponto de vista da segurança cibernética. Os controles de segurança implementados fornecem meios para remediar vulnerabilidades, mesmo antes da instalação das correções de software.
A cibersegurança é uma área dinâmica e em constante evolução, tanto no que diz respeito às ameaças quanto às soluções de proteção. É fundamental que as organizações estejam prontas para investir de forma contínua em atualizações, formação e adoção de soluções avançadas, visando permanecer à frente das ameaças emergentes e garantir a proteção dos sistemas ferroviários contra-ataques cibernéticos.
António Jesus, Thales Ground Transportation Systems Portugal – GTSPT, Services Director