В последние годы кибербезопасность в критической инфраструктуре становится всё более важным направлением, и железнодорожный транспорт не является исключением. Особенно остро это проявилось с выявлением уязвимости в системах управления тормозами поездов, связанных с использованием устройств End-of-Train (EoT) и Head-of-Train (HoT), предназначенных для обмена данными и команд управления. Несмотря на то что проблема известна специалистам уже около 20 лет, она получила должное внимание лишь недавно, благодаря усилиям исследователей и вмешательству Агентства кибербезопасности США (CISA). Устройство End-of-Train или Flashing Rear End Device (FRED) устанавливается в хвостовой части поезда и передает информацию устройству Head-of-Train, находящемуся в локомотиве. Эта система — наследник кабузса, служит для мониторинга состояния состава, что особенно важно для длинных грузовых поездов.
Более того, она способна принимать команды на применение тормозов на хвостовой части поезда. Основная проблема заключается в том, что протокол связи между HoT и EoT базируется на радиосигналах, которые не защищены ни аутентификацией, ни шифрованием. Это означает, что злоумышленник с помощью программно-определяемого радио (Software Defined Radio, SDR) может отправлять специально сконструированные пакеты команд к устройствам поезда. В итоге может произойти как внезапная остановка состава, так и отказ тормозов, что несет угрозу безопасности пассажиров, грузов и самой инфраструктуры. Исследователь Нил Смит впервые обнаружил уязвимость в 2012 году, тогда он работал в ICS-CERT — предшественнике CISA, специализирующемся на безопасности промышленных систем управления.
Вместе со своими коллегами он пытался привлечь внимание Ассоциации американских железных дорог (AAR) к проблеме, однако столкнулся с отсутствием серьёзного интереса. AAR требовала доказательств угрозы на реальных объектах, однако из-за потенциальных последствий такие тесты были крайне сложны для осуществления. Спор длился несколько лет и в итоге перерос в публичные обвинения в адрес железнодорожной отрасли, якобы ставящей экономию выше безопасности. В 2016 году Boston Review опубликовал статью, основанную на результатах работы Смита, после чего AAR опровергла эти выводы, заявив о неточностях и искажениях. Второй исследователь, Эрик Ройтер, позже повторно выявил и продемонстрировал уязвимость на конференции DEF CON в 2018 году, однако реакция отрасли была минимальной.
Самое примечательное в этой истории — тот факт, что проблема была зафиксирована и сообщена AAR еще в 2005 году, но никаких действий предпринято не было вплоть до 2024 года, когда Смит повторно направил свои данные в CISA. Благодаря этому и усилиям ведомства сейчас наконец начался процесс обновления устройств — ожидается, что примерно 25 тысяч HoT и 45 тысяч EoT будут модернизированы начиная с 2026 года. Недавнее заявление CISA подчеркивает, что хотя для успешной атаки необходимы физический доступ к железнодорожным путям и глубокие технические знания, потенциал угрозы остаётся высоким. Организация активно сотрудничает с производителями и отраслевыми игроками для внедрения принципов безопасности по дизайну и разработки новых стандартов защиты. Важным дополнением к угрозе является реальный прецедент: в 2023 году в Польше хакеры смогли прервать движение около 20 поездов, используя простую атаку, основанную на трансляции фальшивых радиокоманд по известной уязвимой частоте.
Это подтверждает, что рекомендации по устаревшим протоколам и отсутствие сильных мер безопасности могут привести к серьёзным последствиям. Проблема безопасности в железнодорожном транспорте — не только технический вызов, но и вопрос общественной безопасности и экономической стабильности, так как любые сбои ведут к огромным финансовым потерям и возможным человеческим жертвам. Развитие и внедрение современных технологий, включая защищённые протоколы связи и системы мониторинга, становится жизненно необходимым условием. Исходя из текущей ситуации, важно отметить, что полноценное устранение уязвимости потребует пересмотра существующих стандартов и модернизации оборудования, что является долгим и ресурсоёмким процессом. Тем не менее, последние события демонстрируют, что сдвиги уже происходят, а кибербезопасность железнодорожной отрасли становится приоритетом для регулирующих и контролирующих органов.
