跳到主要內容區塊

趨勢文章Trend Articles

歐盟鐵路資訊安全風險管理措施介紹(上)

資料來源:European Union Agency for Network and Information Security(2021). Railway Cybersecurity- Good practices in cyber risk management.

網址:https://www.enisa.europa.eu/publications/railway-cybersecurity-good-practices-in-cyber-risk-management

歐盟網路暨資訊安全局(European Union Agency for Network and Information Security, 以下簡稱ENISA)於2021年11月25日發布《Railway Cybersecurity – Good Practices in Cyber Risk Management》,該報告旨在提供歐盟鐵路基礎建設管理者(Infrastructure Managers,以下簡稱IM)與鐵路從事業者(Railway Undertaking,以下簡稱RU),評估與防範資訊安全風險之適用措施以及實務範例,適用系統包含鐵路的資訊科技(Information Technology,以下簡稱IT)與營運科技(Operation Technology,以下簡稱OT),本文綜整該報告歐盟鐵路最常使用資訊安全風險管理措施,提供我國鐵路相關單位參考。

財團法人台灣經濟研究院研究一所\ 陳婕莉副 組長

壹、 歐盟鐵路資訊安全風險管理措施

資訊安全風險管理者必須了解組織內外部風險以及制訂處理方法,根據ISO 27005:2015標準指出「資訊安全風險管理流程」係指整合風險管理方法中必要關鍵活動,其步驟依序包含:確立內外部環境(Establishing the Context)、風險評估(Risk Assessment)、風險處理(Risk Treatment)、風險承擔(Risk Acceptance)、風險溝通(Risk Communication),以及風險監控和審查(Risk Monitoring and Review)。

資訊安全風險管理流程

上圖為資訊安全風險管理流程

ENISA歷經多次工作坊與交流,匯集歐盟鐵路相關利害關係人(如RU和IM)目前最常使用鐵路資訊安全風險管理方法,這些關係人會搭配不同的鐵路資訊安全風險管理方法或措施,以有效管理日益複雜的鐵路系統,並同時滿足IT和OT系統資訊安全風險管理要求。

現今歐盟鐵路利害關係人中所使用的資安風險管理措施非常多樣,每種資安管理措施在分析方法所呈現範圍和詳細程度皆有所不同。對於鐵路IT系統的資安風險管理,最常被引用的措施或方法為網路與資訊系統安全指令(Directive on Security of Network and Information Systems,以下簡稱NIS指令)、ISO 2700x系列標準和NIST網路安全框架(NIST Cybersecurity Framework)。而在OT系統方面,則常採用ISA/IEC 62443、CLC/TS 50701,以及歐盟Shift2Rail計畫之X2Rail-3建議,或Crail計畫建議。

目前鐵路IT系統常使用ISO 2700x系列標準或NIS指令,進行資訊安全風險評估,OT系統則採用工業列車系統設計特定方法與框架,例如ISA/IEC 62443標準是最常被用於特定OT資產與風險識別框架。此外越來越多歐盟鐵路利害關係人表示有意願使用2021年8月所發佈的CLC/TS50701標準。本文將介紹歐盟鐵路採用ISO 2700x系列標準、NIS指令,以及ISA/IEC 62443之現況如下:

一、 ISO 27001、27002 與27005標準:
ISO 2700x系列標準是資訊安全領域引用最廣泛的標準之一。其中ISO 27001旨在協助組織內建立、實施、維護和持續改善資訊安全管理系統。ISO 27001和27002內容包含實施風險處理計畫所需之查核項目。而ISO 27005則訂定風險管理的原則,ISO 2700X系列標準主要為鐵路基礎設施之IT系統所使用。


二、 網路與資訊系統安全指令合作小組指引(NIS Directive Cooperation Group guidelines):
NIS合作小組於2018年發布「參考文件(Reference Document)」,其概述關鍵基礎服務營運商(Operator of an Essential Service,以下簡稱OES)網路安全措施調查結果,內容涵蓋風險管理流程之風險處理階段,該文件雖無建立新標準或沿用現行標準方法,但其以更清楚與結構化方式,闡明OES風險管理面安全措施內容。


三、 ISA/IEC 62443標準(ISA/IEC 62443 Standards):
ISA/IEC 62443系列標準提供工業自動化和控制系統(Industrial Automation and Control System,以下簡稱IACS)資訊安全風險管理的基本框架。該標準由美國國家標準學會 (American National Standards Institute,ANSI)/美國國際標準管理局(International Standards Authority Inc.,ISA)所提出,乃特別針對OT系統訂定工業資訊安全技術與流程風險管理方法,亦可應用於鐵路OT系統。其中ISA/IEC 62443-3-2認證,旨在針對系統層面的「安全風險評估與系統設計」,其定義系列工程措施,協助組織可完成評估特定IACS風險流程,以及確定安全對策應用,達到降低資訊安全風險的效果。

貳、傳統與新興鐵路系統將增加資訊安全風險管理難度

歐盟鐵路利害關係人常以整合或互補方式使用這些措施與標準,以充分解決鐵路IT與OT系統的問題。然而鐵路傳統系統(Legacy Systems)將增加鐵路營運單位資訊安全風險管理難度,目前尚未有明確的解決之道,仍待各界投入與討論。另一方面新系統也需持續更新資訊安全風險評估策略與措施,以確保資安風險監測與防範。隨著物聯網、資通訊技術進步,歐盟鐵路所採用的資訊安全風險管理措施與標準趨向多元化,此亦顯現目前仍缺乏專屬鐵路IT與OT系統的資訊安全風險管理標準與措施。

參、參考資料

[1]    European Union Agency for Network and Information Security(2021),Railway Cybersecurity- Good practices in cyber risk management。

 

1.    「本網站所刊載之所有資料內容及素材,皆屬於交通部科技顧問室所有,非經交通部科技顧問室同意不得將全部或部分內容轉載於任何形式之媒體、不得任意轉載作商業用途」
2.    「本網站資訊內容受著作權法保護者,除有合理使用情形外,任何形式轉載、重製、散布、公開播送、出版或發行本網站內容應取得該著作財產權人同意或授權後,方得利用。」
3.    「本網站所刊載之所有資料內容及素材,得於受著作權保護之範圍內利用,然使用時,應註明出處。」

回到頁首