運輸網絡安全

挑戰：如何保護運輸網路安全免受威脅

無論是鐵路、公路、航空還是海運，運輸和物流系統都在支援全球基礎設施網路方面發揮著至關重要的作用。如今的運輸系統比以往任何時候都更為複雜，包括繁雜的計畫、大量的即時資訊和與工業物聯網（IIoT）的連接。

運輸行業的網路安全主要面臨兩大挑戰：

• 防止運輸系統的基礎設施收到干擾，以確保貨物和客運的流量；以及
• 防止運輸系統成為網路安全中的攻擊目標

鐵路系統的數位化，如歐洲ERTMS信號系統（歐洲鐵路交通管理系統），使得公共交通系統更容易受到新一代網路安全的威脅。僅在2020年，針對全球運輸業的勒索軟體攻擊就同比增長了186%。

這些挑戰要求我們不斷更新網路安全實踐，採取新方法，確保運輸系統的敏捷性。如不採取行動，則會造成巨大的損失和破壞，致使營運組織承受法律責任和訴訟，如若涉及客戶資料洩露問題，情況將更為嚴重。

我們瞭解您的需求

隨著新技術的崛起，全球運輸系統和物流網路得到持續發展，各營運組織必須認識到網路適應性的重要性，及其保護貨運和客運的能力需求。

1. 保持網路適應性和業務連貫性

為了抵禦網路安全攻擊，所需的不僅僅是加強控制和制定流程。運輸公司的適應性應開始並終止於負責資料和資產的人員。無論是IT人員還是高管，每位公司員工都必須有網路安全第一的思維。也就是說，大家必須認識到：人是抵禦威脅的第一道防線。可透過培訓和內部研討會，踐行安全和資訊安全，樹立企業文化的核心。

2. 檢測資料洩露問題並及時回應

運輸網路的快速數位化會引起資料洩露，進而帶來營運收到干擾的風險。越來越多的設備和運輸控制系統因網路連接而不可避免地產生了種種漏洞，增加了敏感性資料落入不法分子手中的可能性。

3. 將網路安全打造成競爭優勢

新的網路威脅不斷湧現，您必須進行盡職盡責的識別風險，並在影響營運前阻止這些攻擊。針對這些網路安全威脅，您可採取以下管理步驟：

• 確定和實施網路安全的最佳實踐
• 建立高效的網路安全風險治理架構
• 制定威脅知識普及的步驟，並設定網路安全活動的風險容量
• 啟動經過測試的事件回應計畫，以降低網路攻擊的影響

應對運輸系統的網路安全威脅，為什麼選擇TÜV SÜD集團？

TÜV SÜD集團的網路安全專家提供運輸業相關的諮詢、評估、培訓、審核和認證服務。我們的解決方案涵蓋了運輸領域IT安全的所有方面，包括鐵路網路安全、IT滲透測試，以及TS 50701和IEC 62443（鐵路）認證項目。

解決內外部網路安全問題、應對關鍵IT基礎設施面臨的威脅需要專業知識和豐富經驗。150多年來，TÜV SÜD集團積累了豐富的安全和安保經驗，可以為運輸公司提供公正的建議和值得信賴的內部安全和安保研討會。

TÜV SÜD集團幫助全球組織完成數位化轉型，作為這一領域的領導者，我們能敏銳感知數位化帶來的網路安全挑戰。我們將與您的團隊協同合作，進行全面的安全測試，並緊跟運輸業最新法規要求。

我們是值得信賴的網路安全專家，我們確保運輸網路的適應性，保障您客戶的資料安全。我們的團隊由來自世界各地1,000多個地區的25,000名多學科專家組成，為您提供所需的服務。

運輸行業面臨的網路安全挑戰

系統與安全設計原則的有機結合

鐵路公司必須遵循風險管理程序，並根據行業具體指導進行持續稽核。遵循安全設計原則可確保安全地設計和建造基礎設施所需的網路和技術。

滿足KRITIS對IT安全要求

在德國，KRITIS供應商（如水、食品、電力和運輸）必須根據IT安全法2.0要求，證明自己已採用網路安全措施保護自身系統。面臨持續威脅，您必須遵循最高安全和安保標準。

保障產品，規避系統資料風險

公司擁有大量的資料集，它們在物理和數位系統之間流動，這使得網路犯罪分子可隱藏在大量流動的資料中，借機攻擊和控制資訊及運算元據。您的IT基礎設施必須採用適當的安全和防禦措施以管理相關風險。

檢測安全事件並及時回應

除了資料洩露之外，網路犯罪還可造成營運干擾，從而對鐵路公司產生破壞性影響，例如：1.交通燈、電子信號、收費站和鐵路信號系統的中斷 2.售票機和檢票口的中斷 3.後台系統和資料訪問受阻

違反規定的處罰和罰款

如未能遵守行業法規，KRITIS組織將面臨高達2000萬歐元或占年營業額4%的高額罰款，以較高者為准。如未能遵守KRITIS規定，也可能導致監禁並起訴負責的高管、經理和工作人員。

確保業務系統的有效性和適應性

網路攻擊對運輸網路造成的影響可能持續數周甚至數月。以下攻擊可能造成運輸系統和網路的癱瘓：DDoS攻擊、DNS攻擊、撞庫攻擊、暴力破解、DNS欺騙、惡意軟體、資料操縱、內容盜竊，以及網路釣魚。

TÜV SÜD集團的方法