风险管理与韧性:网络安全委员会 (Cybersecurity Committee)主席保罗·格温访谈
网络安全对公共交通的韧性至关重要。
公共交通公司在改进运营以提高效率的同时,也必须提高安全性。
事实上,从票务系统到轨道信号系统,每一个自动化系统或数字基础设施都容易受到网络攻击。
鉴于此,有效的网络安全措施是保障公共交通安全运营的基础。
保罗·格温
UITP网络安全委员会 (Cybersecurity Committee)主席
UITP是做什么的?
UITP网络安全委员会 (Cybersecurity Committee)汇集了来自该行业的专家和专业人士。
该委员会致力于提高公众对网络安全治理、安全设计等方面的认识,并为公共交通部门提供最佳实践指导,同时建设急需的网络安全能力。
最新出版物是《面向中小型私人电信运营商的网络安全》 ,该出版物于 2024 年 2 月仅向UITP会员发布。
该出版物向经验和资源有限的操作人员介绍了该主题。
它概述了成功的网络安全战略所必需的四个关键目标,以及信息技术 (IT) 和运营技术 (OT) 所需的不同方法,并从 IT 安全经理和 OT 安全经理的角度提供了用户案例示例。
为了探讨网络安全在公共交通的重要性以及UITP的影响,我们采访了UITP网络安全委员会 (Cybersecurity Committee)主席Paul Gwynn。
与网络安全委员会 (Cybersecurity Committee)主席保罗·格温的对话
问: 网络安全委员会 (Cybersecurity Committee)是如何成立的?
保罗·格温: 2016 年,政策委员会向 ITSI委员会征求了有关网络安全问题的建议。我们撰写了第一份报告,这份报告后来成为了行动要点:公共交通网络安全,重点介绍了如何入门、做什么、去哪里以及该行业的关键标准。但六年过去了,世界已经发生了变化,所以我们今年打算对其进行更新。
作为行动要点的结果,网络安全被确定为一个重要议题,我们被要求成立一个工作组,作为安全委员会 (Security Committee)的一部分。网络安全很快成为热门话题,我们收到了许多复杂的问题咨询,从物理和技术安全到闭路电视和无线电通信中的漏洞。我们发现,人们对网络安全方面的知识非常匮乏。
保罗·格温
UITP网络安全委员会 (Cybersecurity Committee)主席
增强韧性
问:委员会发挥了哪些作用?
保罗·格温:通过发表包含指导原则和最佳实践案例的论文,我们能够产生很大的影响。例如,我们关于招标中网络安全要求的报告已经在世界各地的公共招标中使用。我认为即将发表的一篇论文会受到运营商的热烈欢迎,该论文探讨了适用于小型和大型运营商的风险管理工具。本文旨在从实际角度回答运营商如何对其系统进行风险评估的问题。
此外,我们还积极参与宣传和推广工作,例如与北美 APTA 的联络关系,以及与欧洲网络安全局 ENISA 正在发展的关系。我们与他们交流信息,并邀请他们参加我们的委员会会议,以便更全面地了解网络安全领域。
它还旨在提高人们对其他UITP委员会的认识并回答相关问题。因为如果你是网络安全新手,虽然有很多现有的标准可以使用,但往往很难理解它们如何应用于公共交通的不同模式。我们的许多报告都解释了如何运用这些指导原则。
保罗·格温
UITP网络安全委员会 (Cybersecurity Committee)主席
威胁与风险
问:公共交通网络安全薄弱会带来哪些风险?
保罗·格温:简而言之,您可能会遭受服务中断。例如,运行您的票务系统的数据可能会被分布式拒绝服务 (DDoS) 攻击所阻止。这样一来,就没人能充值卡了,你就没有收入了。或者,如果你的乘务员排班系统出现故障,那么司机就不知道自己的职责,火车就无法运行,公共汽车也无法离开车站。这些都是看似简单却后果严重的问题。
有时,这可能只是令人恼火和尴尬的事情,例如黑客更改标牌上的信息。但更重要的是,这可能对生命构成真正的威胁。例如,对 OT 系统的攻击可能会影响安全关键系统,例如铁路信号系统。这并非完全不可能。
行动要点案例研究
波兰罗兹市电车遭黑客破坏
2008 年,在波兰罗兹市,有人改装了一个电视遥控器,入侵了有轨电车系统,控制了一辆有轨电车和道岔系统。
事故中,四辆电车脱轨,另有几辆电车紧急停车,导致十二人受伤。
为了实施这次特技,黑客利用开源信息,非法闯入电车车库,收集必要的信息和设备。
袭击、违规和事故
问:为什么会有人攻击公共交通机构?
保罗·格温:动机多种多样。我们经常听到犯罪黑客利用勒索软件敲诈勒索钱财,或者政治团体可能篡夺我们的信息系统。但你也会有不满的员工。我们越来越频繁地看到来自国家行为体的网络攻击。
公共交通网络经常遭到攻击,并非因为它们是攻击目标,而是因为它们本身存在安全漏洞。每天都有数百起针对系统的网络攻击,攻击者都在寻找入侵途径。到目前为止,我们非常幸运,公共交通还没有成为蓄意袭击的高发领域。
但网络安全不仅仅能抵御外部攻击。人为因素是数据泄露的最大因素。事实是,人都会犯错。85% 的数据泄露事件都与人为因素有关。它们是意外造成的。所以,我们面临的很大一部分问题是培训、意识和测试。
- 85% 的数据泄露事件都与人为因素有关。
- ENISA统计数据显示,DDoS攻击占葡萄牙所有攻击的53%。
- 根据欧盟网络安全局 (ENISA) 的数据,勒索软件攻击占葡萄牙所有攻击的 19%。
网络安全建议
问:对于希望在确保安全的前提下实现运营数字化的运营商和监管机构,您有什么建议?
保罗·格温:归根结底,组织必须了解并管理自身面临的风险。首先需要对整个系统进行审计,然后进行风险分析。您必须优先考虑对系统风险最大的问题,并采取缓解措施来控制和管理风险。例如,通过引入内部程序、培训员工、划分网络以及更新技术。实际上,我们在这里讨论的是网络安全的设计。
为了确保安全,您的系统必须受到持续监控。在系统的使用寿命期间,将会发生许多变化。每次发生变化时,都必须对该变化的影响进行评估。网络安全不是一劳永逸的事情。这是一个贯穿一生的过程。
保罗·格温
UITP网络安全委员会 (Cybersecurity Committee)主席
委员会的未来
问:网络安全委员会 (Cybersecurity Committee)的未来发展方向是什么?
保罗·格温:通过培训学院,我们已经完成了五六门不同的培训课程。网络安全对大多数运营商和监管机构来说都是相对较新的领域,这意味着很难招募到合适的人才。为了帮助实现这一目标,我们希望设立一个UITP文凭,用于培训员工网络安全方面的知识。
我们知道很多运营商都实行内部招聘。他们通常不是网络安全领域的专业人士,只是对调查事物感兴趣或有能力的人。我们认为, UITP网络安全文凭可以帮助我们的会员,同时也能为人们提供良好的就业机会。
新出版物
中小公共交通运营商的网络安全
问: 最后,您能否介绍一下贵委员会新出版的《中小公共交通运营商网络安全》一书?
保罗·格温: 这篇新论文是关于开发应对新出现的威胁的作战技术系统。目前数字化转型领域正在发生很多事情,所以我们希望确保人们了解自身的脆弱性。简而言之,拥有这种新的数字环境并想要自由交换数据固然很好,但你必须意识到这样做可能会带来潜在的网络威胁。
该报告解释了经验或资源有限的运营商面临的这些威胁,以及他们可以采取哪些措施来开始应对这些威胁。它以清晰易懂、切实可行的方式,指出了相关的标准和最佳实践。