El punto débil de la digitalización de cualquier sector es el aumento de los riesgos a los que están sometidos los activos que experimentan esa transformación. Las ventajas que acarrea esta necesaria evolución no son nada despreciables en un ámbito como el ferroviario. Como contrapartida, sus infraestructuras y su complejo sistema estén más expuestos ante posibles amenazas.
El secuestro digital de datos sensibles a través de un ataque ransomware, o la eliminación de información estratégica por parte de grupos organizados de ciberdelincuentes son dos ejemplos de ello.
Para dar respuesta a este nuevo contexto en diciembre de 2019 se inició el proyecto 4SECURail. La iniciativa se enmarca en el programa Shift2Rail, por medio del cual la Unión Europea subvenciona programas de investigación e innovación en el sector del tren. El propósito es conseguir un modelo de transporte más eficaz, eficiente y sostenible, y crear un espacio ferroviario europeo único.
Los objetivos de 4SECURail son dos: por un lado, garantizar que tanto la interoperabilidad como la seguridad de los sistemas de señalización ferroviaria funcionen de forma correcta; y, por otro, desarrollar una plataforma de ciberseguridad colaborativa en Europa.
La estandarización de los sistemas de señalización “redundará en una mayor integración entre los diferentes países europeos y, además, contribuirá a disminuir los costes de este tipo de activos”, explica Albert Ferrer-Bonsoms, jefe de proyectos de Ardanuy Ingeniería, en una entrevista con D+I.
Con la creación de una plataforma CSIRT (Cyber-Security Incident Response Team) europea se conseguirá una gestión integrada de las ciberamenazas.
“Este equipo de respuesta ante incidencias de seguridad informáticas será capaz de proporcionar un sistema ferroviario más fuerte ante peligros que cada día están más presentes, tanto entre los administradores de infraestructuras como entre los operadores tanto de mercancías como de pasajeros”, afirma Ferrer-Bonsoms.
Un modelo colaborativo
Ardanuy Ingeniería es la empresa española que coordina el proyecto. De los 24 meses de duración prevista ya se han cumplido 16. Durante este tiempo una de sus labores ha sido concienciar a las partes interesadas en la necesidad de crear esa plataforma CSIRT europea.
“En este contexto, hemos lanzado encuestas masivas, realizado entrevistas personales, organizado talleres y reuniones con diferentes administradores de infraestructuras ferroviarias, operadores y expertos europeos en ciberseguridad. De esta manera, pueden estar al corriente de nuestros avances y podemos tener en cuenta sus intereses, opiniones y preocupaciones a la hora de definir nuestro modelo de CSIRT”, detalla el responsable del proyecto.
El equipo ya ha entregado la primera versión del demostrador y ha definido el caso práctico en el que se pondrá a prueba: el intercambio de un tren entre dos Centros de Bloqueo por Radio (RBC, por sus siglas en inglés). Ya están preparando la última versión y el análisis coste-beneficio en cuanto al uso de métodos formales en el ámbito de señalización ferroviaria.
Asimismo, se ha finalizado el modelo de CSIRT y ya están trabajando en su prototipo. “Todavía queda recorrido para completar el diseño de esta plataforma europea y encontrar los mejores mecanismos de colaboración para que la información que se obtenga desde los diferentes países sea compartida por todos”, señala Ferrer-Bonsoms.
Quien añade: “una vez se tenga un diseño definitivo elaborado con el acuerdo de todas las partes interesadas, habrá que implantarla para que lo que ahora es todavía un proyecto, sea una realidad efectiva en un futuro próximo”.
Para la puesta en marcha de 4SECURail se creó un consorcio del que, junto a Ardanuy Ingeniería, forman parte Consiglio Nazionale delle Ricerche, FIT Consulting, Hit Rail, SIRTI. TREE Technology y la Unión Internacional de Ferrocarriles (UIC, por sus siglas en francés).
Al inicio del proyecto, se logró una mayor participación de distintas empresas y organizaciones con la constitución de un Consejo de Asesoramiento (CA). Este está integrado por expertos de varias entidades y organismos, entre ellos: Infrabel, Universidad Técnica de Dinamarca, ProB, Prover y la Universidad de Twente, que colaboran en los trabajos relativos a los métodos formales; y por la parte de CSIRT colaboran DG Railsec initiative, UNIFE y las empresas Expleo de Francia y Cervello de Israel expertas en estos sistemas de seguridad.