TU Darmstadt / ULB / TUbiblio

Security Engineering in Safety-critical Railway Signalling

Heinrich, Markus (2021)
Security Engineering in Safety-critical Railway Signalling.
Technische Universität Darmstadt
doi: 10.26083/tuprints-00013484
Dissertation, Erstveröffentlichung, Verlagsversion

Kurzbeschreibung (Abstract)

Public transportation provides a major contribution to the mobility of modern societies. Passengers and customers of railway transportation expect a safe, timely, and comfortable service. To meet this demand, safety engineers have established strategies over decades to remove risks and increase safety that become manifest in railway signalling systems which are fundamental to today's safe train operation. Over the recent years, digitalisation found its way into the signalling systems but unfortunately at the cost of making them vulnerable to cybersecurity threats. The vulnerabilities can as well affect the safety of train operation and eventually be the root cause for train accidents with potentially severe and tragic consequences. Hence, scientists, engineers, and practitioners dealing with railway signalling unequivocally agree that a system that is not secure can not be safe. However, how the cybersecurity protection of safety systems in the railway domain should be shaped is subject of current discussion between domain experts. System architectures are being proposed and tested, risk assessment methods are discussed, security controls are selected and integrated, national and international standards are written, and the interplay and integration of safety and security measures is studied. Fortunately, railway transportation has so far been spared from major cyberattacks. But more and more incidents in other critical infrastructures become public and combining the potential harm, the importance for the society and ongoing digitalisation, railway transportation is becoming an attractive goal for adversaries of various kinds. The dissertation at hand contributes to the research in safety and security co-engineering.

We begin to analyse the security requirements of the safety-critical railway signalling system and building on that propose a new security architecture. The security architecture has the advantage that it serves as the platform of safety and security functionality at the same time. The necessary separation between safety and security is moved from the physical world to a virtual environment such that the available attack surface is reduced. We proceed to investigate the interplay of safety and security examining security controls that can be deployed in the architecture. First, we analyse a safe transport protocol and enhance it to provide cryptographically secure message authenticity. Then, we propose two intrusion detection and prevention schemes to protect railway signalling against semantic attacks. Semantic attacks are typically executed by sophisticated adversaries who exploit detailed knowledge of the controlled system's behaviour to provoke respectively serious damage and consequences. Therefore, it is inevitable to combine the security defence strategies with the safety principles of railway signalling. For the first scheme we encode the principles in a way that enables the actuators to distributedly validate their actions themselves and couple security with safety by allowing it to intervene in the safety communication within a controlled framework. In the second proposed scheme, we consult artificial neural networks and train them on normal, incident free command and control communication to implicitly learn a model of the safety principles. Similarly, we allow the scheme to intervene in the safety communication to make the signalling system more resilient against semantic attacks. Finally, from the experience we gathered, we develop a methodology to deploy security controls in the immediate proximity of safety systems generalised as sensor-actuator cyber-physical systems and not limited to railway signalling. Core of the methodology is the active transformation of a security incident to a safety hazard by the detecting security control. The methodology is as well suitable to be applied to the security architecture we present in the beginning and in this way contributes towards making safety-critical systems more secure and hence more safe.

Typ des Eintrags: Dissertation
Erschienen: 2021
Autor(en): Heinrich, Markus
Art des Eintrags: Erstveröffentlichung
Titel: Security Engineering in Safety-critical Railway Signalling
Sprache: Englisch
Referenten: Mühlhäuser, Prof. Dr. Max ; Katzenbeisser, Prof. Dr. Stefan
Publikationsjahr: 2021
Ort: Darmstadt
Kollation: XIX, 114 Seiten
Datum der mündlichen Prüfung: 10 Dezember 2020
DOI: 10.26083/tuprints-00013484
URL / URN: https://tuprints.ulb.tu-darmstadt.de/13484
Kurzbeschreibung (Abstract):

Public transportation provides a major contribution to the mobility of modern societies. Passengers and customers of railway transportation expect a safe, timely, and comfortable service. To meet this demand, safety engineers have established strategies over decades to remove risks and increase safety that become manifest in railway signalling systems which are fundamental to today's safe train operation. Over the recent years, digitalisation found its way into the signalling systems but unfortunately at the cost of making them vulnerable to cybersecurity threats. The vulnerabilities can as well affect the safety of train operation and eventually be the root cause for train accidents with potentially severe and tragic consequences. Hence, scientists, engineers, and practitioners dealing with railway signalling unequivocally agree that a system that is not secure can not be safe. However, how the cybersecurity protection of safety systems in the railway domain should be shaped is subject of current discussion between domain experts. System architectures are being proposed and tested, risk assessment methods are discussed, security controls are selected and integrated, national and international standards are written, and the interplay and integration of safety and security measures is studied. Fortunately, railway transportation has so far been spared from major cyberattacks. But more and more incidents in other critical infrastructures become public and combining the potential harm, the importance for the society and ongoing digitalisation, railway transportation is becoming an attractive goal for adversaries of various kinds. The dissertation at hand contributes to the research in safety and security co-engineering.

We begin to analyse the security requirements of the safety-critical railway signalling system and building on that propose a new security architecture. The security architecture has the advantage that it serves as the platform of safety and security functionality at the same time. The necessary separation between safety and security is moved from the physical world to a virtual environment such that the available attack surface is reduced. We proceed to investigate the interplay of safety and security examining security controls that can be deployed in the architecture. First, we analyse a safe transport protocol and enhance it to provide cryptographically secure message authenticity. Then, we propose two intrusion detection and prevention schemes to protect railway signalling against semantic attacks. Semantic attacks are typically executed by sophisticated adversaries who exploit detailed knowledge of the controlled system's behaviour to provoke respectively serious damage and consequences. Therefore, it is inevitable to combine the security defence strategies with the safety principles of railway signalling. For the first scheme we encode the principles in a way that enables the actuators to distributedly validate their actions themselves and couple security with safety by allowing it to intervene in the safety communication within a controlled framework. In the second proposed scheme, we consult artificial neural networks and train them on normal, incident free command and control communication to implicitly learn a model of the safety principles. Similarly, we allow the scheme to intervene in the safety communication to make the signalling system more resilient against semantic attacks. Finally, from the experience we gathered, we develop a methodology to deploy security controls in the immediate proximity of safety systems generalised as sensor-actuator cyber-physical systems and not limited to railway signalling. Core of the methodology is the active transformation of a security incident to a safety hazard by the detecting security control. The methodology is as well suitable to be applied to the security architecture we present in the beginning and in this way contributes towards making safety-critical systems more secure and hence more safe.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Der öffentliche Verkehr leistet einen wichtigen Beitrag zur Mobilität moderner Gesellschaften. Fahrgäste und Kunden des Schienenverkehrs erwarten einen sicheren, zeitnahen und komfortablen Service. Um dieser Nachfrage gerecht zu werden, haben Sicherheitsingenieure über Jahrzehnte Strategien entwickelt, um Risiken zu beseitigen und die Sicherheit zu erhöhen. Sie manifestieren sich in Eisenbahnsignalsystemen, die für den sicheren Zugbetrieb von heute von grundlegender Bedeutung sind. In den letzten Jahren hat die Digitalisierung Eingang in die Eisenbahn-Leit- und Sicherungstechnik gefunden, jedoch leider auf Kosten ihrer Anfälligkeit für Cybersicherheitsbedrohungen. Die Sicherheitslücken können sich auch auf die Sicherheit des Zugbetriebs auswirken und letztendlich die Ursache für Unfälle mit potenziell schwerwiegenden und tragischen Folgen sein. Daher sind sich Wissenschaftler und Ingenieure, die sich mit Eisenbahnsignaltechnik befassen, einig, dass ein System, das nicht "safe" ist, auch nicht "secure" sein kann. Wie der Schutz gegen Angriffe auf Bahnsysteme gestaltet werden sollte, wird derzeit von Fachleuten diskutiert. Systemarchitekturen werden vorgeschlagen und getestet, Methoden zur Risikobewertung diskutiert, Sicherheitsmaßnahmen ausgewählt und integriert, nationale und internationale Standards geschrieben und das Zusammenspiel und die Integration von funktionaler Sicherheit und IT-Sicherheit untersucht. Glücklicherweise wurde der Schienenverkehr bisher von größeren Cyberangriffen verschont. Allerdings werden immer mehr Vorfälle in anderen Kritischen Infrastrukturen bekannt. Kombiniert mit dem potenziellen Schaden, der Bedeutung für die Gesellschaft und der fortschreitenden Digitalisierung, wird der Schienenverkehr zu einem attraktiven Ziel für Angriffe. Die vorliegende Dissertation trägt zur Erforschung des Zusammenspiels von funktionaler Sicherheit und IT-Sicherheit bei.

Wir beginnen mit der Analyse der IT-Sicherheitsanforderungen der sicherheitskritischen Eisenbahnsignaltechnik und schlagen darauf aufbauend eine neue IT-Sicherheitsarchitektur vor. Die Architektur hat den Vorteil, dass sie gleichzeitig als Plattform für "Safety"- und "Security"-Funktionen dient. Die notwendige Trennung zwischen den Funktionen wird von der physischen Welt in eine virtuelle Umgebung verschoben, sodass die Angriffsfläche verkleinert wird. Wir untersuchen das Zusammenspiel, indem wir IT-Sicherheitsmaßnahmen betrachten, die in der Architektur eingesetzt werden können. Zunächst analysieren wir ein sicheres Transportprotokoll und erweitern es, um eine kryptografisch sichere Nachrichtenauthentizität bereitzustellen. Anschließend schlagen wir zwei Anomalie-Erkennungssysteme vor, um die Eisenbahn-Leit- und Sicherungstechnik vor semantischen Angriffen zu schützen. Semantische Angriffe werden in der Regel von Angreifern ausgeführt, die detaillierte Kenntnisse über das Verhalten des Steuerungssystems ausnutzen, um schwerwiegende Schäden und Konsequenzen zu provozieren. Daher ist es unvermeidlich, die Strategien der IT-Sicherheit mit den Sicherheitsprinzipien der Eisenbahnsignaltechnik zu kombinieren. Für das erste System kodieren wir die Prinzipien so, dass die Aktuatoren ihre Aktionen selbst verteilt validieren und IT-Sicherheit gewährleisten können, indem sie in einem kontrollierten Rahmen in die Sicherheitskommunikation eingreifen können. Im zweiten vorgeschlagenen System nutzen wir künstliche neuronale Netze und trainieren sie anhand normaler, vorfallfreier Kommunikation, um implizit ein Modell der Sicherheitsprinzipien zu lernen. In ähnlicher Weise erlauben wir dem System, in die Sicherheitskommunikation einzugreifen, um die Signaltechnik widerstandsfähiger gegen semantische Angriffe zu machen. Schließlich entwickeln wir aus den gesammelten Erfahrungen eine Methodik, um IT-Sicherheitsmaßnahmen in unmittelbarer Nähe von Sicherheitssystemen einzusetzen, die wir als Sensor-Aktuator-Systeme verallgemeinern und nicht auf Eisenbahnsignaltechnik beschränken. Kern der Methodik ist die aktive Umwandlung eines IT-Sicherheitsvorfalls in ein Sicherheitsrisiko durch die erkennende IT-Sicherheitsmaßnahme. Die Methodik eignet sich auch für die Anwendung auf die IT-Sicherheitsarchitektur, die wir zu Beginn präsentieren und trägt auf diese Weise dazu bei, die IT-Sicherheit sicherheitskritischer Systeme zu stärken und damit ihre funktionale Sicherheit zu erhalten.

Deutsch
Status: Verlagsversion
URN: urn:nbn:de:tuda-tuprints-134847
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik
20 Fachbereich Informatik > Security Engineering
Hinterlegungsdatum: 28 Jan 2021 06:58
Letzte Änderung: 02 Feb 2021 08:07
PPN:
Referenten: Mühlhäuser, Prof. Dr. Max ; Katzenbeisser, Prof. Dr. Stefan
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 10 Dezember 2020
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen