當地時間11月25日，歐盟網絡和信息安全局-ENISA發布了一份題為《Railway Cybersecurity – Good Practices in Cyber Risk Management 》的報告，詳細介紹了鐵路組織網絡風險管理的最佳實踐。ENISA說，歐洲鐵路企業（RUs）和基礎設施管理人員（IMs）需要以系統的方式應對網絡風險，這是其風險管理過程的一部分。自2016年網絡和信息安全（NIS）指令生效以來，這一需求變得更加迫切。該報告的目的是為歐洲RUs和IMs提供關于如何評估和減輕網絡風險的適用方法和實例。

　　ENISA和歐盟鐵路局于2021年3月組織了一場關于鐵路網絡安全的虛擬會議。會議持續了兩天多時間，聚集了來自鐵路組織、政策、行業、研究、標準化和認證的600多名專家。參與者投票的最熱門話題之一是鐵路網絡風險管理，這也是ENISA進行最新研究的動機。提出的最佳實踐正是基于鐵路利益相關者的調研反饋。它們包括基于行業標準和良好實踐的工具，如資產和服務列表、網絡威脅場景和適用的網絡安全措施。這些資源可作為鐵路公司網絡風險管理的基礎。因此，它們旨在成為一個參考點，促進整個歐盟鐵路利益相關者之間的合作，同時提高對相關威脅的認識。

　　報告指出，鐵路信息技術（IT）和運營技術（OT）系統的現有風險管理方法各不相同。對于鐵路IT系統的風險管理，引用最多的方法是國家一級的NIS指令、ISO 2700x系列標準和NIST網絡安全框架的要求。

　　圖1：風險管理的六個步驟

　　對于OT系統，引用的框架是ISA/IEC 62443, CLC/TS 50701，以及Shift2Rail項目X2Rail-3的建議，或CYRail項目的建議。

　　這些標準或方法通常以互補的方式使用，以充分解決IT和OT系統的問題。IT系統通常采用更廣泛、更通用的方法（如ISO 2700x或NIS指令）進行評估，而OT系統需要為列車系統設計的特定方法和框架。

　　ENISA表示，目前還沒有統一的鐵路網絡風險管理方法。參與這項研究的利益攸關方表示，他們結合上述國際和歐洲方法來解決風險管理問題，然后用國家框架和方法對其進行補充。

　　對于RUs和IMs來說，管理網絡風險，確定需要保護的內容至關重要。該報告強調了五個關鍵領域：涉眾提供的服務、支持這些服務的設備（技術系統）、用于提供這些服務的物理設備、維護或使用這些服務的人員以及所使用的數據。

　　該報告還審查了可用的威脅分類，并提供了一個可用作基礎的威脅列表。報告將鐵路系統面臨的威脅分為五個大類，即災難（自然環境），信息或IT資產的意外損壞/丟失物理攻擊（故意/故意），失敗/故障，中斷，惡意活動/濫用。每個威脅屬于一個類別，適用于一個或多個鐵路資產。這種分類已在圖2中以圖形形式表示，附錄B中對這些威脅進行了更詳細的描述。

　　圖2 鐵路系統面臨的威脅分類

　　報告還分析了網絡風險場景的實例，有助于鐵路利益相關者進行風險分析。它們展示了如何將資產和威脅分類一起使用，并基于部門的已知事件和研討會期間收到的反饋。每個場景都與相關的安全措施列表相關聯。該報告包括來自NIS指令的網絡安全措施、當前標準（ISO/IEC 27002, IEC 62443）和良好實踐（NIST的網絡安全框架）。報告列出了七個典型的威脅場景：

　　場景1:破壞信號系統或列車自動控制系統，導致列車發生事故

　　場景二：破壞交通監控系統，導致列車交通中斷

　　場景3:勒索軟件攻擊，導致運營中斷

　　場景4:從票務管理系統竊取客戶的個人數據

　　場景5:由于不安全、暴露的數據庫導致敏感數據泄漏

　　場景六：DDoS （Distributed Denial of Service）攻擊，阻止旅客購票

　　場景7:災難性事件破壞數據中心設施，導致IT服務中斷

　　在第五章風險應對措施中，給出了相應的風險處置模型框架。一旦根據風險評估標準確定了風險并對導致這些風險的事件場景進行了優先級排序，就應該通過風險處理計劃對其進行處理。關于風險處理，人們通常提出四種選擇：風險調整、風險保留、風險規避和風險分擔。

　　風險修改：通過引入、移除或改變控制來修改風險的級別，以便重新評估剩余風險為可接受的

　　風險自留：在風險水平符合風險接受準則的情況下，不采取進一步行動而接受風險

　　風險規避：就是避免增加特定風險的活動或情況

　　風險分擔：就是與能夠最有效地管理某一特定風險的另一方共同承擔風險

　　報告的結論部分認為，必須強調在應用這些方法時所面臨的挑戰。最重要的是，鐵路組織缺乏一致的網絡風險管理方法，以統一的方式涵蓋IT和OT。

　　IT與OT風險管理方法。在鐵路部門區分IT和OT越來越困難，網絡風險管理的離散方法和分類使得這個問題更具挑戰性。在許多情況下，要確定哪種方法更適合，設備是否可以被認為是IT或OT，或者應該采用哪種安全措施和標準，可能是一個復雜的過程。在網絡風險管理方面擁有一個更加結構化和統一的方法，將有助于該行業的協調，從而促進鐵路生態系統不同實體之間的風險討論。它還可以與該部門的供應行業進行更多的合作。

　　更好地協同和協調最佳實踐。未來的工作可以包括進一步協調具體行業分類，并就最佳實踐的應用提供更多指導。在任何可能的情況下，進一步的標準化都可以進行，因為這也是鐵路供應行業的要求，該行業主張在歐盟層面建立更多的認證機制。重要的行業挑戰仍然存在，包括供應鏈的網絡風險管理。這可以通過在相同的網絡風險管理要求下涵蓋整個鐵路生態系統的監管方法加以補救。目前，鐵路供應鏈的關鍵要素，無論是IT還是OT，都不屬于同一個歐洲監管框架。

　　更新鐵路系統和網絡風險評估。該行業特有的另一個重大問題是遺留系統過多，這給管理網絡風險增加了額外的難度。目前，還不可能提供相關建議來解決鐵路部門遺留系統的網絡安全問題。有必要讓鐵路工業參與這樣的工作。此外，即使是新開發的系統，也需要確保風險評估的結果保持最新，持續監控風險，并且安全級別保持足夠合理。積極面對鐵路系統面臨的最新威脅可能是朝著這個方向邁出的一步。