TRENES ONLINE El 22 de julio de 2020 un grupo de hackers anunció que había vulnerado los sistemas informáticos de ADIF, consiguiendo obtener de forma ilegal 800 GB de información confidencial de la empresa. ADIF reconoció haber sido víctima del ataque informático, y aseguró que «en ningún momento se ha visto afectada la infraestructura, garantizándose siempre el buen funcionamiento de todos sus servicios».
No en tanto nada se aclara en relación con la información de negocio de la empresa. Recordemos que ADIF ha pasado a ocupar un lugar protagónico en la liberalización de los servicios de Alta Velocidad en España. Es la entidad que autoriza a todos los operadores, sean ellos privados o sea RENFE, a operar en la red de Alta Velocidad. La crisis sanitaria del Covid19 ha desbaratado los planes iniciales de la administración española para el inicio de los servicios comerciales de Alta Velocidad por operadores privados distintos de RENFE a partir de diciembre de 2020.
Hay muchos interesados en conocer el detalle de los planes de contingencia que viene estudiando ADIF para mitigar los impactos generados por la pandemia en el proceso de liberalización de los servicios de Alta Velocidad en España.
Un enfoque posible de los riesgos de ciberataques
Hasta los años 2000 los ferrocarriles y los metros sostenían su operación en sistemas dedicados. Tanto en suministro eléctrico, señalamiento cómo en material rodante los sistemas de control y comunicación se basaban en tecnologías diseñadas, fabricadas e integradas de manera específica para cada operación ferroviaria.
Desde hace 10 o 15 años las operaciones ferroviarias en general comenzaron a adoptar tecnologías de actuación, control, comunicación y monitoreo cuyo origen tecnológico no es exclusivamente de uso ferroviario. El desarrollo exponencial de las tecnologías de redes e Internet permitieron el ingreso al ferrocarril de hardware y software no originalmente diseñado para su uso ferroviario. La necesidad de la estandarización y principalmente la reducción de costes favoreció la sustitución gradual de los sistemas dedicados por soluciones basadas en tecnologías de información y comunicación.
Para dar un ejemplo en el sector de material rodante, los buses de comunicaciones entre los diversos componentes de la tracción de un vehículo ferroviario, hasta hace bien poco tiempo se basaban en tecnologías industriales dedicadas como el bus CAN (IEC 61375-2-1), pero hoy esto tiende a cambiar. El control, comunicación y diagnóstico de los nuevos vehículos se sustenta en redes tipo Ethernet (IEC 61375-2-5), el protocolo de comunicaciones más utilizado a nivel mundial en aplicaciones de todo tipo.
Existen claramente amenazas potenciales a la seguridad y a la operación regular de los ferrocarriles cada vez que se incorporan tecnologías estandarizadas.
La UIC publicó hace un año el documento “Guidelines for Cyber-Security in Railways” que propone una metodología para aplicar la norma ISO 27001 que define la forma de gestionar los riesgos en los sistemas informáticos.
En el mercado ya aparecen empresas que ofrecen soluciones para las amenazas de ciberseguridad en el sector ferroviario:
CERVELLO Ciberseguridad Ferroviaria
La empresa CERVELLO, integrada totalmente por ex-miembros de cuerpos de guerra informática de Ejército de Israel proporciona soluciones específicas de ciberseguridad para el sector de los transportes ferroviarios.
Según en su sitio web: «según nuestro punto de vista, cada desafío de seguridad requiere su propia atención y solución. Ofrecemos a nuestros clientes y socios soluciones a medida, fortalecidas por nuestro enfoque único. Con un historial comprobado como veteranos de las unidades de seguridad cibernética de élite del Ejército de Israel y de la industria ferroviaria, exploramos constantemente formas de abordar las amenazas cibernéticas y mantener seguros todos los sistemas ferroviarios a lo largo de todo su ciclo de vida. Así, nos aseguramos de que el problema se aborde de forma hermética y holística.»
¿Estamos preparados para las amenazas de ciberseguridad? Parece relevante tomar acción para tener en cuenta este tipo particular de riesgo es nuestros procesos de planificación, diseño, presupuesto, ejecución, operación y mantenimiento de nuestros sistemas ferroviarios.
TRENES ONLINE