公共交通招标中对运营商与主管部门的网络安全要求
网络安全已迅速成为当今公共交通不可或缺的组成部分
随着公共交通部门日益互联互通,服务不断调整以满足用户日新月异的期望,网络安全攻击的风险也随之成为日常隐患。
网络安全攻击可能导致公共交通瘫痪:例如瘫痪实时乘客信息系统、入侵网站以及未经授权访问内部软件。
虽然此类攻击不会对乘客或员工构成直接威胁,但可能会导致大规模的出行延误、网络故障,并不可避免地造成乘客信任的丧失。
遗憾的是,你的个人信息被盗,就如同连接公共Wi-Fi网络一样容易。
因此,尽管提供免费网络连接对旅客来说可能是一大优势,但运营商与主管部门仍需确保其网络免受黑客攻击。
保障数据安全不仅是乘客的期望,也是数据控制者的法定义务。
根据欧盟《通用数据保护条例》(GDPR)的规定,任何违反数据保密规定的行为均属违法行为,最高可处以年营业额2%至4%的罚款。
因此,公共交通运营商与主管部门正积极采取一系列措施,以防范此类风险的发生。
以下是欧盟网络安全局(ENISA)在2022年识别出的主要网络安全威胁:
但许多运营商与主管部门却在第一道关卡上就折戟沉沙
为了保障乘客出行安全顺畅,网络安全构成了公共交通数字基础设施的基石。
然而,在将网络安全纳入考量时,许多运营商与主管部门却在第一道关卡上就遭遇了挫折:即未能将相关要求纳入招标流程。
运营商与主管部门往往没有在地铁线路扩建或部署新的按需服务之初就纳入必要的安全流程,而是提出过于笼统的要求,导致无法提供满足其需求的安全解决方案。
在经历某些威胁后,他们可能会修改需求,从而导致额外成本和项目延误。
从目标错位到实现网络安全目标
众所周知,整合运营网络安全要求说起来容易做起来难,尤其是因为很少有运营商与主管部门拥有能够为招标流程提供支持的内部专家。
此外,采购方并未提供相关指南来帮助他们轻松管理跨职能流程,这往往导致运营商/权威/行政管理机构的期望与供应商的服务之间出现脱节。
鉴于招标过程中需要采取的措施与确保适当网络安全保护的可用资源之间存在巨大差距,国际公共交通联盟(UITP)网络安全委员会 (Cybersecurity Committee)编制了一份详尽的报告,题为《网络安全要求实用指南:“招标要求”。
具备网络安全专业知识的 UITP 核心会员制定了这些指南,旨在为运营商与主管部门提供帮助。指南中包含一套全面的工具和良好实践,可在采购过程中加以采用,以确保网络安全目标得以实现。
该报告探讨了:
- 法规与法律框架
- 采购流程与技术规范框架
- 信息安全系统规范
- 网络安全技术规范
此外,还提供了一份包含参考资料和示例的网络安全采购指南。
无论将此类标准应用于地铁还是快速公交系统,这些指南都详细阐述了必须考虑的所有必要步骤,并介绍了相关技术及其优缺点。
感谢本报告的赞助商:AXIS Communications、Cylus、INIT 和 Waterfall Security Solutions!
欢迎加入我们在佛罗里达州杰克逊维尔市举办的研讨会,共同探讨网络安全及其他诸多议题
距离2023年UITP北美论坛仅剩几周时间了!本次活动由杰克逊维尔交通主管机构联合主办,绝对不容错过。
网络安全是诸多议题中的一个重点,其他议题还包括轻轨创新、车站功能展开以及公共交通脱碳等。
与全球公共交通领域的管理者、创新者及资深专家会面并进行Exchange。此外,UITP会员可免费参加!