Doprava na železnici prochází zásadní digitální transformací, která ale obnáší nové bezpečnostní výzvy. Že jim není jednoduché pokaždé čelit, se mohli nedávno přesvědčit cestující po celé zemi několik hodin marně vyhlížející svůj spoj.
Výpadek komunikační sítě GSM-R a na něj navázaného evropského vlakového zabezpečovacího systému ETCS postihl celkem 238 vlaků. Ty mohly na klíčových koridorech jezdit maximálně stokilometrovou rychlostí, namísto standardně povolené maximálky 160 km/h. A mnohahodinová zpoždění se na sebe nabalovala.
Ministerstvo dopravy zdůraznilo, že v tomto případě nešlo o kybernetický útok, ale o problém s databázemi na serverech, co se starají o registraci vlaku v systému ETCS. Servery běží ve dvou oddělených datacentrech, v Praze a v Přerově. Než se podařilo příčinu odhalit, uběhla hodina a kompletní překlopení provozu ETCS na Moravu zabralo dalších 5 hodin. Přestože bezpečnost nebyla při výpadku přímo ohrožena, nutnost přepnout provoz na původní návěstidla v rámci národního zabezpečovače odhalila kritickou závislost na jediném komunikačním kanálu.
Symbióza ETCS a komunikačního systému
ETCS spoléhá na integraci s komunikační platformou GSM-R zajišťující spojení mezi vlaky a řídicími centry. GSM-R pracuje ve vyhrazených kmitočtových pásmech 876–880 MHz pro uplink a 921–925 MHz pro downlink, se šířkou kanálu 200 kHz a funguje na principu mobilní sítě 2. generace. Tím pádem zdědil všechny neduhy spojené se zastaralým GSM standardem. Zejména trpí nedostatečným šifrováním, ale i dalšími zranitelnostmi.
Jednou z nich je pouze jednosměrná autentizace (zařízení k síti, nikoliv naopak). To umožňuje útočníkovi předstírat, že je základnovou stanicí. Tento typ útoku byl úspěšně demonstrován už na Asijsko-pacifické konference o komunikacích v roce 2016. Stačila k tomu jednoduchá vývojová deska s rádiovým modulem USRP B200 a open-source penetrační nástroje.
Druhým typem útoku je využití slabin algoritmu MAC protokolu EuroRadio používaného k zabezpečení komunikace zařízení v síti. Jak bylo předvedeno rovněž v roce 2016, tento protokol umožňuje nezjistitelné mazání zpráv a falšování nouzových hlášení.
Bez signálu vlak preventivně zastaví
Záškodníci se však u GSM-R vůbec nemusejí zdržovat ovlivňováním obsahu komunikace, když jim k narušení provozu stačí spustit dostatečně silný zdroj rušícího signálu. Platí totiž pravidlo, že vlak automaticky zastaví, pokud mobilní terminál GSM-R ve vlaku zjistí ztrátu spojení se zbytkem systému. To zajišťuje, aby souprava nepokračovala v jízdě po trati s nesprávnými parametry provozu. Aby se minimalizovalo riziko odepření služby kvůli poruchám základnových stanic, je na tuto eventualitu pamatováno už při plánování a výstavbě sítě GSM-R. Vysílače jsou od sebe rozesety ve vzdálenosti 7 až 15 kilometrů, zaručující redundanci pokrytí. A za stejným účelem jsou na kanálu pro uplink implementovány algoritmy pro řízení vysílacího výkonu.
Přesto tato síť vůči úmyslnému elektromagnetickému rušení signálu (jamming) není odolná. Praktické zkoušky ukázaly, že na překročení povolené míry zhoršení komunikace podle norem postačí výkon rušícího signálu k užitečnému v poměru −6 dB a při hodnotě −2 dB dochází k úplné ztrátě spojení.
Jak funguje FRMCS:
Přes všechny tyto nevýhody je systém GSM-R v Evropě nasazen na více než 130 tisících kilometrech tratí. Používá ho 90 tisíc aktivovaných palubních radiostanic. Do budoucna ho má nahradit přechod na mobilní síť 5. generace, pro níž se užívá zkratka FRMCS. Tím se přeskočí dvě technologické epochy. Příprava na to ale ještě nějakou dobu potrvá. Spuštění se nepředpokládá dříve než v příštím roce.
Vztah mezi komunikačním systémem GSM-R a zabezpečovacím systémem ETCS je symbiotický. Vzájemně tvoří provázanou architekturu, v níž selhání jednoho prvku paralyzuje celý systém. Výpadek ETCS z poloviny března toho je důkazem. Hlavním úkolem systému je zajištění bezpečnosti vlakové dopravy a aktivní zásah do řízení vlaku v případě selhání nebo omylu strojvedoucího. Skládá se z traťové a vozidlové části, které si vzájemně vyměňují informace.
Balíza jako maják položený na kolejích
Používají k tomu systém balíz. To jsou bezkontaktní zařízení položená mezi kolejnicemi železniční tratě a obsahující předem naprogramované informace. Pokud nad balízou přejede souprava, dojde k zaslání datagramu podobným způsobem, jako se to děje při odbavování lyžařů v zimních střediscích. Čtečka u turniketů tam také vybudí čip ve skipasu a anténa zachytí odeslaná data. Balízy tímto způsobem posílají informace mimo jiné o poloze vlaku.
V Evropě se používají dva druhy těchto zařízení – balíza pevná a přepínatelná. Druhá zmíněná umožňuje měnit kód, který vysílá, a informovat například o stavu návěstidla před soupravou a následujícím traťovém úseku. To dává prostor pro průběžné sledování nejvyšší dovolené rychlosti vlaku.
V Česku je v ostrém provozu v největší míře nasazován ETCS s aplikační úrovní L2, tedy pevnými balízami, které slouží jako referenční bod. Správa železnic přešla na výhradní provoz se zabezpečovačem ETCS letos v lednu a postupně ho zavádí na 600 kilometrech koridorových tratí.
Stejně jako GSM-R i ETCS sám o sobě trpí několika zranitelnostmi. Například je to nedostatečná ochrana nouzových zpráv. To umožňuje zasílat podvržené nouzové notifikace vedoucí k neplánovanému nouzovému brždění. Zdokumentovaná je i zranitelnost v podobě odvození šifrovacího klíče z kolizí v autentizačních kódech zpráv a s tím související slabý generátor pseudonáhodných čísel pro navázání spojení. A konečně ke zvýšení zátěže systému může vést replay útok neboli možnost opakování už dříve zaslaných zpráv.
Evropská unie na tato zjištění zareagovala. Všechny členské státy, s výjimkou Nizozemska, výslovně identifikovaly sektor železniční dopravy jako základní (esenciální), takže se na něj vztahují přísnější pravidla regulace podle směrnice NIS2. Posoudit rizika a důsledky útoků na železniční infrastrukturu pak dostal za úkol výzkumný projekt SECRET (SECurity of the Railway network against Electromagnetic ATtacks). A testují se i pokročilé technologie. AI modely jsou schopné detekovat drtivou většinu útoků v prvních 5 sekundách. V železničním kontextu by tato technologie umožňovala z dat poskytovaných ETCS v reálném čase analyzovat dopředu možné problémy.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
