0
0
A ENISA anunciou o lançamento de seu relatório – Cibersegurança Ferroviária – Boas Práticas em Gerenciamento de Risco Cibernético para organizações ferroviárias.
As empresas ferroviárias (RUs) europeias e os gerentes de infraestrutura (IMs) precisam abordar os riscos cibernéticos de maneira sistemática como parte de seus processos de gerenciamento de riscos. Essa necessidade se tornou ainda mais urgente desde que a Diretiva de Segurança de Redes e Informações (NIS) entrou em vigor em 2016.
Objetivos do relatório
O objetivo do relatório é fornecer às EFs e IMs europeias métodos aplicáveis e exemplos práticos sobre como avaliar e mitigar riscos cibernéticos.
As boas práticas apresentadas são baseadas no feedback das partes interessadas ferroviárias. Eles incluem ferramentas, como lista de ativos e serviços, cenários de ameaças cibernéticas e medidas de segurança cibernética aplicáveis, com base nos padrões e boas práticas usadas no setor. Esses recursos podem ser usados como base para o gerenciamento de riscos cibernéticos para empresas ferroviárias. Eles devem, portanto, ser um ponto de referência e promover a colaboração entre as partes interessadas ferroviárias em toda a UE, aumentando a conscientização sobre ameaças relevantes.
As abordagens existentes de gerenciamento de riscos cibernéticos variam para sistemas ferroviários de TI e TO
Para o gerenciamento de riscos de sistemas de TI ferroviários, as abordagens mais citadas foram os requisitos da Diretiva NIS em nível nacional, a família de padrões ISO 2700x e a estrutura de segurança cibernética do NIST.
Para sistemas de Tecnologia Operacional (OT), as estruturas citadas foram ISA/IEC 62443, CLC/TS 50701 e as recomendações do projeto Shift2Rail X2Rail-3, ou as do Projeto CYRail.
Esses padrões ou abordagens são frequentemente usados de maneira complementar para abordar adequadamente os sistemas de TI e TO. Embora os sistemas de TI sejam normalmente avaliados com métodos mais amplos e genéricos (como ISO 2700x ou NIS Directive), os sistemas OT precisam de métodos e estruturas específicas que foram projetados para sistemas de trem industrial.
Ainda não há uma abordagem unificada disponível para o gerenciamento de riscos cibernéticos ferroviários. As partes interessadas que participaram deste estudo indicaram que usam uma combinação das abordagens internacionais e europeias acima mencionadas para lidar com a gestão de riscos, que complementam com estruturas e metodologias nacionais.
Taxonomias de ativos
Para RUs e IMs gerenciarem riscos cibernéticos, identificar o que precisa de proteção é essencial. Neste relatório, uma lista abrangente é dividida em 5 áreas; os serviços que as partes interessadas fornecem, os dispositivos (sistemas tecnológicos) que suportam esses serviços, o equipamento físico usado para fornecer esses serviços, as pessoas que os mantêm ou usam e os dados usados.
Taxonomias de ameaças e cenários de risco
RUs e IMs precisam identificar quais ameaças cibernéticas são aplicáveis aos seus ativos e serviços. O relatório analisa as taxonomias de ameaças disponíveis e fornece uma lista de ameaças que podem ser usadas como base.
Exemplos de cenários de risco cibernético também são analisados, o que pode ajudar as partes interessadas ferroviárias ao realizar uma análise de risco. Eles mostram como as taxonomias de ativos e ameaças podem ser usadas juntas e são baseadas nos incidentes conhecidos do setor e no feedback recebido durante as oficinas.
Aplicando medidas de segurança cibernética
Cada cenário está associado a uma lista de medidas de segurança relevantes. O relatório inclui medidas de segurança cibernética derivadas da Diretiva NIS, padrões atuais (ISO/IEC 27002, IEC 62443) e boas práticas (estrutura de segurança cibernética do NIST).
FONTE: HELPNET SECURITY