Železničná doprava: kritická infraštruktúra na pomedzí kybernetiky a fyziky
V auguste 2023 sa na poľskej železnici udialo niečo, čo dovtedy patrilo do oblasti scenárov, nie reality. Neznámi aktéri zneužili rádiový systém núdzového zastavenia (radio-stop) a vyslali signál, ktorý zastavil viac ako 20 vlakov v rôznych regiónoch krajiny. Útok nepotreboval prístup do digitálnych systémov ani sofistikovaný malvér. Stačil rádiový vysielač a znalosť verejne dostupných tónov. Bola to ukážka, prečo železničná doprava patrí medzi najkomplexnejšie kategórie kritickej infraštruktúry. Spája sa v nej staršia analógová a rádiová technika so súčasnými IT a OT systémami a každá z týchto vrstiev má vlastné zraniteľnosti.
Slovenský železničný systém
Slovenský železničný systém má tri hlavných aktérov. Železnice Slovenskej republiky (ŽSR) ako manažér infraštruktúry spravujú približne 3 580 kilometrov tratí, signalizačné a zabezpečovacie systémy, dispečerské pracoviská a komunikačné siete. Železničná spoločnosť Slovensko (ZSSK) prevádzkuje osobnú dopravu. Železničná spoločnosť Cargo Slovakia (ZSSK Cargo) prevádzkuje nákladnú dopravu, ktorá je strategicky dôležitá pre prepravu tranzitu medzi Ukrajinou, EÚ a krajinami západnej Európy.
Práve nákladná železničná doprava nadobudla od februára 2022 nový strategický rozmer. Slovenská železnica sa stala jednou z hlavných trás pre prepravu humanitárnej a vojenskej pomoci na Ukrajinu, pre vývoz ukrajinského obilia a pre logistické zabezpečenie obrannej spolupráce v rámci NATO. Tento posun zmenil železničnú infraštruktúru z domácej dopravnej služby na cezhraničný strategický koridor.
Vrstvy zraniteľnosti
Železničná doprava má štyri vrstvy, na ktorých sa môže stretnúť s útokom. Prvou je signalizačná a zabezpečovacia vrstva, ktorá zahŕňa rušňové vlakové zabezpečovače, pevné návestidlá, automatické vedenie vlaku a rádiové komunikačné systémy GSM-R. Európsky systém riadenia dopravy ERTMS, ktorý sa postupne nasadzuje na slovenských tratiach, prináša modernizáciu, ale aj nové digitálne závislosti.
Druhou je dispečerská a riadiaca vrstva, ktorá zahŕňa dispečerské pracoviská, systémy riadenia jazdy vlakov a integráciu so susednými prevádzkovateľmi. Tretia je komerčná a administratívna vrstva, vrátane rezervačných systémov, predaja cestovných lístkov, logistických systémov nákladnej dopravy a integrácie s colnými a hraničnými systémami. Štvrtou je fyzická infraštruktúra trás, mostov, tunelov a uzlových staníc, ktorých narušenie môže mať priamy fyzický dopad na bezpečnosť prevádzky.
Útoky na železnice v posledných rokoch zasiahli každú z týchto vrstiev. Kybernetický útok na britského Network Rail v septembri 2024 cez Wi-Fi siete v staniciach. Ransomvérový útok na talianskeho prevádzkovateľa Trenitalia v marci 2022, ktorý vyradil predaj lístkov v staniciach. Fyzické sabotáže optických káblov DB Netz v Nemecku v októbri 2022, ktoré paralyzovali severné Nemecko na niekoľko hodín. Ukrajinská železnica Ukrzaliznycia čelí od roku 2022 prakticky kontinuálnym kybernetickým aj fyzickým útokom, ktoré odolávajú vďaka výnimočnej improvizačnej schopnosti tamojšieho personálu.
Regulačný rámec
Železničná doprava je v zákone 367/2024 Z. z. o kritickej infraštruktúre zaradená do sektora dopravy ako jednej z 11 sektorov kritickej infraštruktúry. Zákon 366/2024 Z. z. (transpozícia NIS2) zaraďuje manažérov železničnej infraštruktúry a dopravcov medzi subjekty kriticky dôležitých služieb. K tomu pristupujú špecifické železničné regulácie, najmä nariadenie EÚ 2016/796 o Železničnej agentúre EÚ (ERA) a nariadenie 2023/1230 o spoločnej bezpečnostnej metóde pre kybernetickú bezpečnosť v železničnom sektore.
V júli 2024 zverejnila ENISA spoločne s ERA usmernenia pre kybernetickú bezpečnosť ERTMS, ktoré stanovujú minimálne požiadavky na ochranu signalizačných systémov, riadenie identít, segmentáciu sietí a riadenie zraniteľností v komponentoch dodávateľského reťazca. Vyhláška NBÚ číslo 227 z roku 2025 dopĺňa tieto požiadavky o slovenský regulačný kontext.
Tri praktické priority
Pre prevádzkovateľov v železničnom sektore vyplývajú tri praktické priority. Prvou je segmentácia medzi prevádzkovými systémami (signalizácia, dispečing, GSM-R) a korporátnym IT, vrátane riadenia vzdialeného prístupu dodávateľov k OT prostrediam. Druhou je riadenie zraniteľností špecifických pre železničné komponenty s dlhým životným cyklom, kde sa firmware a operačné systémy aktualizujú v rádoch rokov, nie mesiacov. Treťou je cezhraničná koordinácia s prevádzkovateľmi v susedných krajinách, najmä v kontexte tranzitu medzi EÚ a Ukrajinou, kde výpadok jednej strany má okamžitý dopad na druhú.
„Železničná doprava ukazuje, prečo zákon o kritickej infraštruktúre nie je možné napĺňať len z perspektívy IT bezpečnosti. Bezpečnostné riziká pre vlak môžu mať podobu phishingu na dispečera, kompromitácie dodávateľa softvéru, rušenia rádiového signálu alebo fyzickej sabotáže koľaje. Funkčná odolnosť znamená vidieť všetky tieto vrstvy súčasne a mať pre každú z nich prevádzkovo nacvičenú reakciu," uvádza Ing. Tibor Straka, prezident AKI SR.
Železnica je technológia 19. storočia, ktorá sa v 21. storočí stala digitálnou. Práve táto vrstvenosť ju robí jedným z najfascinujúcejších a najnáročnejších sektorov kritickej infraštruktúry, ktorému by sa mala venovať systematická odborná pozornosť.
