Sistemele moderne de măsurare care monitorizează consumul de energie și parametrii de funcționare ai trenurilor sunt dispozitive autonome care comunică în afara rețelelor interne de comunicații ale vehiculului. Cu toate acestea, transmiterea sigură a datelor măsurate către serverele back-office ale furnizorilor de energie de tracțiune impune cerințe stricte în ceea ce privește reziliența cibernetică, atât în ceea ce privește securitatea datelor, cât și continuitatea operațională. Výzkumný Ústav Železniční a.s. (VUZ) oferă verificarea profesională a rezilienței cibernetice și eliberează un certificat fără de care echipamentul nu poate fi oferit clienților.
Acest pas permite VUZ să își extindă portofoliul de servicii pentru a include testarea completă a penetrării sistemelor, unităților de material rulant și infrastructurii. Un exemplu recent este sistemul de măsurare a consumului de energie electrică la bord CEGM-3000, cu un contor de energie integrat de tip EGM-3000, fabricat de POLL, s.r.o., parte a grupului ŠKODA TRANSPORTATION a.s. Obiectivul testării nu este doar identificarea punctelor slabe tehnice specifice, ci mai ales verificarea rezistenței generale a dispozitivului la riscurile cibernetice într-un mediu real de la bord. Testul a fost efectuat pe baza interfețelor și serviciilor disponibile – în principal porturi Ethernet (ETH0–ETH2), USB, Wi-Fi și interfața web. Scopul a fost identificarea serviciilor active, validarea comportamentului sub sarcină și evaluarea punctelor de intrare de bază ale aplicației .
De ce testarea penetrării este esențială
1) Verificarea securității înainte de implementare
Fiecare dispozitiv de măsurare și interfețele sale de comunicații sunt testate atât în condiții de laborator, cât și în scenarii operaționale simulate . Testele au acoperit interfețele disponibile (ETH0–ETH2), interfața web, serviciile aplicației, diagnosticarea, testele XXE de bază și scenariile de încărcare DoS. Scopul a fost de a evalua suprafața de atac, reziliența și amploarea scurgerii de informații fără autentificare. Interfețele examinate includ de obicei porturi Ethernet, interfețe USB, module wireless și interfețe web, permițând confirmarea faptului că dispozitivul îndeplinește standardele de securitate cerute.
2) Identificarea potențialelor suprafețe de atac
Testarea ajută la identificarea zonelor în care disponibilitatea sau integritatea datelor ar putea fi compromise. Testele de penetrare simulează un comportament operațional realist, făcând posibilă estimarea modului în care dispozitivul răspunde la stres și la condiții operaționale neașteptate.
3) Sprijinirea conformității și certificării
Rezultatele testelor de penetrare servesc nu numai ca informații pentru îmbunătățirea securității interne, ci și ca documentație necesară pentru respectarea reglementărilor și standardelor (de exemplu, NIS2, ISO/IEC 27001 și EN/IEC 62443 pentru securitatea cibernetică industrială). Pentru producători și operatori, acest lucru se traduce printr-o mai mare încredere în securitatea și reziliența echipamentelor instalate.
Metodologia de testare
Testele de penetrare specializate includ, de obicei, următoarele etape:
- Recunoaștere și documentare interfață – identificarea porturilor, serviciilor și aplicațiilor expuse.
- Analiza suprafeței de atac – evaluarea elementelor care pot fi exploatate.
- Scanare și simulare de atacuri – efectuarea de teste controlate la nivel de rețea și aplicații.
- Evaluarea rezistenței la sarcină și scenarii operaționale – validarea stabilității și disponibilității telemetriei și funcțiilor de gestionare a dispozitivelor.
- Raport cu recomandări – elaborarea unui document clar pentru producător sau operator, incluzând propuneri pentru îmbunătățirea securității și consolidarea dispozitivelor.
- Certificat care confirmă testarea securității cibernetice – confirmare formală că testul de securitate cibernetică a fost efectuat.
Avantaje pentru operatori și producători
- Protecție proactivă: Testarea penetrării descoperă potențialele puncte slabe înainte ca acestea să poată fi exploatate.
- Încredere sporită: Dispozitivele testate oferă operatorilor garanția că datele de măsurare și telemetrie sunt procesate în siguranță.
- Suport pentru standarde: Rezultatele testelor facilitează conformitatea cu cerințele legislative și tehnice de securitate cibernetică .
- Optimizarea integrării: Testarea clarifică modul în care dispozitivul poate fi integrat corect în rețeaua vehiculului, accesul la segmente în mod corespunzător și minimizarea riscurilor.
Viitorul securității cibernetice în trenuri
Odată cu digitalizarea continuă a vehiculelor feroviare, testarea rezilienței cibernetice va deveni o parte standard atât a dezvoltării, cât și a operațiunilor. În această direcție, VUZ se poziționează ca partener al operatorilor și producătorilor, ajutându-i să implementeze tehnologii moderne în condiții de siguranță și cu un grad ridicat de fiabilitate.
Testarea penetrării sistemelor de măsurare la bord nu mai este o chestiune de „experimentare avansată”. Este o parte esențială a operațiunilor feroviare moderne sigure și eficiente, în care tehnologia digitală și securitatea cibernetică merg mână în mână.
Concluzie
Testarea penetrării sistemului de contorizare a energiei electrice la bord CEGM-3000 produs de POLL, s.r.o. (grupul ŠKODA TRANSPORTATION a.s.) au arătat că, atunci când este instalat și integrat corect în rețeaua vehiculului, dispozitivul este fiabil din punct de vedere tehnic și funcțional. Analiza a identificat potențiale domenii de îmbunătățire a rezilienței cibernetice, permițând operatorilor și producătorilor să implementeze măsuri preventive, să crească securitatea datelor și să minimizeze riscul de degradare operațională.
În ansamblu, testarea a furnizat informații valoroase pentru a sprijini funcționarea sigură a sistemelor de măsurare, pentru a consolida încrederea în funcționalitatea corectă și pentru a promova practici de securitate standardizate atunci când se introduc echipamente noi în vehiculele feroviare. Odată instalat și integrat, dispozitivul îndeplinește cerințele operaționale și de securitate și este gata pentru utilizare în serviciul real.
Pregătit de: Jaroslav Brabec, VUZ
Echipa POLL, s.r.o.
