Железные дороги в цифровую эпоху: как уязвимости в ИТ-инфраструктуре влияют на безопасность перевозок

В кино взлом железнодорожных систем выглядит как захватывающий экшен: злодей за минуту проникает в «непробиваемую» защиту и останавливает локомотивы. Реальность сложнее и прозаичнее, при этом последствия атак могут быть гораздо более катастрофическими, чем остановка отдельно взятого поезда.

Железнодорожная инфраструктура во многих странах десятилетиями работает на устаревших технологиях, а исследователи безопасности годами сталкиваются с игнорированием критических уязвимостей со стороны транспортных компаний. Итог — повышенные риски взлома и периодические инциденты, которые со временем могут перерасти в полное обрушение системы.

Североамериканский кейс: как 13 лет игнорировали критическую уязвимость в поездах

В августе 2025 года мир железнодорожной безопасности столкнулся с шокирующим прецедентом. CISA (Агентство кибербезопасности США) официально подтвердило существование CVE-2025-1727 — уязвимости в системах экстренного торможения грузовых поездов. Эта история началась не вчера: исследователи били тревогу больше десяти лет, но их предупреждения считали «теоретическими».

Почему тормоза стали ахиллесовой пятой

В основе проблемы — протокол связи между головным (HoT) и хвостовым (EoT) вагонами. Вместо современного шифрования здесь используется контрольная сумма BCH — математическая проверка целостности данных, разработанная ещё в 1960-х.

Представьте, что вы отправляете коллеге секретный код, но вместо запечатанного конверта используете открытку: любой может прочитать и подменить содержимое. Технически эксплуатация выглядит так: устройства обмениваются данными на частоте 457 МГц — это публичный диапазон, как FM-радио.

Злоумышленник с SDR-радио (программно-управляемым устройством за $300-500) может:

• перехватить сигнал между вагонами;
• расшифровать 16-битную контрольную сумму;
• сгенерировать фальшивую команду торможения.

Реальная демонстрация состоялась ещё в 2014 году. Исследователь Эрик Рейтер на конференции DEFCON (крупнейший в мире ежегодный саммит хакеров и специалистов по кибербезопасности) показал, как за 90 секунд останавливает модель поезда, передавая поддельный сигнал с ноутбука и самодельной антенны.

Но только в 2025 после ряда инцидентов в Европе, где аналогичный протокол использовали для остановки составов, эксперты MITRE подтвердили уязвимость и присвоили ей статус CVSS 8.1 — «высокий риск».

Атака на Deutsche Bahn (Германия) через VPN-шлюзы привела к 8-часовому простою региональных поездов. Злоумышленники использовали уязвимость в протоколе DNP3 для подмены команд сигнализации.

Почему проблему игнорировали

Основная причина — экономика. В Северной Америке эксплуатируется 75 000 устройств HoT/EoT. Их замена на защищённые аналоги IEEE 802.16t потребует $7–10 млрд, по оценкам AAR, и 5–7 лет работ из-за согласований и тестирования.

Это классический конфликт безопасности и операционной непрерывности. Железные дороги живут по принципу «работает — не трогай». Замена legacy-систем требует не только финансовых затрат, но и временной остановки работы транспортных компаний.

Для грузовых перевозчиков простой означает потерю $2,6 млн в час.

CISA в своём бюллетене от мая 2025 года пишет о том, что железные дороги исторически фокусировались на физической безопасности. Цифровые риски оставались вторичными из-за предполагаемой изоляции OT-сетей.

Что изменилось в 2025 году

После публикации отчёта CISA начались конкретные действия:

• временные меры — установка фильтров от помех на антенны EoT;
• поэтапный переход на стандарт FRED-II с AES-шифрованием;
• программа грантов для малых железных дорог на модернизацию.

Но проблема глубже. Уязвимость CVE-2025-1727 — лишь симптом. Реальная проблема в устаревших стандартах, которые не учитывают современные киберугрозы.

Российская железнодорожная инфраструктура: от уязвимостей к системным решениям

В 2021 году независимый исследователь обнаружил, что публичный Wi-Fi в поездах «Сапсан» не изолирован от внутренней сети РЖД. Это открыло «цифровую дверь» в критическую инфраструктуру — то есть систему управления поездами. Последующий анализ показал, что это не единичный случай — проблема носит системный характер.

Технические корни проблем

Унаследованные системы — главная причина уязвимостей. Например:

• Серверы IPMI (интерфейс управления серверами Dell iDRAC и Supermicro) работали без паролей. Через них можно было получить контроль над физическим оборудованием.
• Информационные табло на вокзалах работали под управлением Debian 9 (ОС на ядре Linux, устаревшая версия 2018 года). В системе не было обновлений безопасности, что делало её мишенью для эксплойтов вроде EternalBlue — программы, использующей уязвимость системы, разработанной в Агентстве национальной безопасности США.
• Прокси-серверы в сегментах управления были открыты для интернета. Это позволяло злоумышленникам обходить сетевую аутентификацию.

Человеческий фактор усугублял риски:

• MikroTik-роутеры использовали пароли по умолчанию вроде admin:1234. Такие устройства обнаруживались в сетях от Москвы до Владивостока.
• Системы управления климатом (например, на базе ПО Schneider Electric) имели веб-интерфейсы на порту 80 без шифрования. Через них можно было перехватывать данные или вводить вредоносные команды.

Как реагировала РЖД

В 2023 году компания запустила первую в отрасли bug bounty-программу. Её условия — до 300 000 рублей за критическую уязвимость (например, доступ к системам управления движением поездов). Часть уязвимостей устранили за первый год, включая критические.

Однако проблемы сохранялись:

• Часть IP-камер (около 15%, по данным на 2024 год) оставалась доступна из интернета. Некоторые транслировали изображения с платформ вокзалов и даже служебных помещений.
• Системы на базе Windows Embedded (управляющие табло и терминалы) не получали обновлений из-за прекращения поддержки Microsoft.

Для программистов: Уязвимости в MikroTik часто связаны с протоколом WinBox (порт 8291). Эксплойт *CVE-2018-14847* позволял читать файлы конфигурации через directory traversal. Патч выпущен в 2019, но многие устройства РЖД его не получили.

Для новичков: Bug bounty — «охота за багами с вознаграждением». Исследователи легально ищут дыры в защите и получают деньги за их обнаружение.

Почему изменения идут медленно:

• Совместимость. Многие системы управления энергоснабжением путей работают на ОС QNX 4.2 (выпущена в 1995 году). Их замена требует остановки движения на участках.
• Регламенты. По стандартам ГОСТ Р 59639-2021, обновление ПО критических систем требует 7-этапного тестирования. Процесс занимает до 6 месяцев для одного типа устройств.

РЖД: сдвиг к прозрачности

Компания постепенно отходит от принципа «безопасность через игнорирование»:

• подтверждены DDoS-атаки на ИТ-системы в 2023 году, нарушившие работу сайта и приложений;
• внедрена практика независимой оценки уязвимостей на платформе Standoff 365.

Технические улучшения к 2025 году:

1. Сегментация сетей. OT-системы (управление путями, сигнализация) отделены от IT-инфраструктуры с помощью аппаратных межсетевых экранов.
2. Замена паролей по умолчанию. Внедрена система Privileged Access Management (PAM), автоматически генерирующая сложные пароли для инженерного оборудования.
3. Мониторинг в реальном времени. Сервис Security Operations Center (SOC) отслеживает аномалии в сетях. Например, попытки доступа к портам 502/TCP (Modbus) или 1911/UDP (Fox Protocol).

Хотя публичные отчёты с детализацией инцидентов пока редки, эти шаги сигнализируют о переходе к более открытой модели безопасности.

Почему железные дороги остаются мишенью: причины уязвимостей

Железнодорожная инфраструктура — это гибрид из унаследованных систем (OT) и современных IT-решений. Исторически OT-оборудование (сигнализация, тормоза, управление путями) работало в изолированных сетях. Но сегодня интеграция с IT-сетями создаёт «цифровые трещины», которые эксплуатируют злоумышленники. Рассмотрим три ключевые проблемы.

Конфликт IT и OT: когда протоколы устаревают быстрее поездов

Главная проблема — несовместимость стандартов. OT-оборудование использует протоколы 1990-х, разработанные для закрытых сетей.

Например:

• FRED — протокол связи между головным и хвостовым вагонами, разработанный в конце прошлого века — применяет BCH-контрольную сумму вместо шифрования. Это позволяет подделывать команды торможения через радио.
• Modbus (порт 502/TCP) и DNP3 в SCADA-системах не поддерживают аутентификацию. Атака на Deutsche Bahn в 2024 году показала: через уязвимость в DNP3 хакеры искажали сигналы светофоров, что привело к остановке поездов.

При интеграции с IT-сетями устаревшие протоколы становятся «дверью» для атак. Почему их не меняют? Существуют физические ограничения:

• замена устройств требует остановки движения, что приведёт к неизбежным убыткам;
• многие системы управления энергоснабжением путей работают на ОС QNX 4.2 (выпущена в 1995 году) — их обновление невозможно без замены «железа».

Windows XP до сих пор работает на ряде европейских контроллеров сигнализации. Microsoft прекратила поддержку ОС в 2019, оставив системы без патчей.

Человеческий фактор: как фишинг ломает железные дороги

По данным CISA, значительная часть инцидентов в OT-средах начинается с атак на персонал.

Почему это работает:

• технический персонал редко обучают кибербезопасности OT-сред;
• 80% SCADA-систем используют единые учётные записи для всех инженеров — утечка одного пароля открывает доступ к критическим узлам.

Для программистов: NTLM-аутентификация (протокол 1993 года) до сих пор применяется в промышленных системах. Её слабость — передача хеша пароля без шифрования. Фишинговая атака с CVE-2025-24054 превращает обычный ZIP-архив в «троянского коня» для кражи учётных данных.

Для новичков: Фишинг — это «удочка» для сотрудников. Злоумышленники выдают себя за коллег или службу поддержки, чтобы выманить пароли.

Уязвимости в железных дорогах — не следствие «плохого кода». Это системная проблема на стыке устаревших стандартов, физических ограничений и человеческих привычек.

Безопасность на ЖД требует не только технологических изменений (вроде перехода на IEEE 802.16t), но и пересмотра подходов: сегментации сетей, bug bounty-программ и регулярных тренировок для инженеров. Как гласит принцип Purdue: «Изоляция — лучший друг критической инфраструктуры».

Комментирует эксперт в сфере кибербезопасности Лев Прокопьев, технический директор PrivEsc:

Таких проблем, как CVE-2025-1727, — тьма, и не только в железнодорожной отрасли. Промышленность и бизнес до сих пор используют массу «вечных» систем, разработанных «когда-то» на C, без шансов на обновление. Лозунг «15 лет без сбоев» нередко превращается в критический риск для общественной безопасности. 

Альтернатив немного, а закупка и внедрение новых решений — процесс долгий и затратный. Поэтому продолжают эксплуатироваться SCADA с Modbus/DNP3 без аутентификации, OPC/DCOM с утечкой хешей NTLM и EternalBlue в каждом устройстве «из коробки», драйверы времён NT с утерянными исходниками, контроллеры с Telnet/FTP и стандартными логинами вроде admin:admin. Эти системы держат энергетику, транспорт и водоснабжение — и никто не хочет их трогать, пока «работает». 

Проблема не только в самих уязвимостях, но и в бюрократии, риске остановки технологических или логистических процессов и страхе убытков. В итоге вопрос быстро становится практически нерешаемым.  $300–400 за SDR, пара часов на реверс протокола — и можно, находясь вне периметра, подать команду на торможение состава. Без шифрования подделка пакета тривиальна. Последствия — от сбоя логистики до аварии. 13 лет без подвижек в решении проблемы — это, к сожалению, банальная ситуация.

И да, это вопрос общественной безопасности. Поэтому стоит отдать должное исследователям за упорство. Вряд ли, конечно, что в скором времени большинство разработчиков АСУТП и ПЛК анонсирует выход на Bug bounty и позовет любого желающего проверить, получится ли у него вторгнутся в процессы общественной безопасности, но и не забываем, что этот мир умеет удивлять.

Стратегии защиты: глобальные практики

Железнодорожная отрасль постепенно переходит от реактивного к проактивному подходу в кибербезопасности. Международный опыт показывает, что успех зависит от комбинации технологий, архитектурных решений и кадровой политики.

Сегментация: фундамент безопасности промышленных систем

Как гласит принцип Purdue: «Изоляция — лучший друг критической инфраструктуры». Такая модель (стандарт ISA-95) — международно признанный подход к изоляции критической инфраструктуры, применяемый в энергетике, транспорте и промышленности. Её суть в целенаправленном цифровом карантине.

Где это работает. Канадский национальный перевозчик CN Rail внедрил модель Purdue в 2023 году для защиты систем управления путями.

Реализация включала:

• физическое разделение сетей управления стрелками (уровень 1) и диспетчерских центров (уровень 3);
• установку односторонних шлюзов данных (data diodes) между уровнями 2 и 3.

Технические детали карантина:

• Уровень 0. Датчики рельсовых цепей и считыватели RFID физически изолированы. Данные передаются через оптически развязанные модули.
• Уровень 3. Диспетчерские системы (например, Siemens Vicos OC 501) размещены в DMZ с двухфакторной аутентификацией по FIDO2 и сигнатурным анализом трафика через Modbus/TCP deep packet inspection.
• Запрет горизонтального движения. Устройства уровня 2 (локальные контроллеры) не могут связываться друг с другом, только с вышестоящими серверами.

Почему это работает? При атаке на IT-сегмент (например, фишинг бухгалтерии) злоумышленники не могут достичь систем управления путями.

Технические меры: шифрование как основа

Ключевая слабость устаревших систем — отсутствие криптографии. Современные решения:

• AES-256-GCM для радиоканалов: используется в новых устройствах FRED-II в США. Алгоритм гарантирует конфиденциальность и аутентичность данных. Для 457 МГц-каналов внедрена помехоустойчивая реализация с Forward Error Correction.
• HMAC-SHA256 вместо BCH: контрольные суммы теперь генерируются с использованием уникальных ключей. Это блокирует подделку команд торможения через SDR-радио.
• HSM-модули в критичных узлах: аппаратное хранение ключей исключает их извлечение при компрометации серверов.

Полный переход на стандарт IEEE 802.16t с шифрованием AES-256 планируется в США к 2027 году.

Перспективные разработки: безопасность завтрашнего дня

ЕС инвестирует €2.8 млрд в модернизацию железных дорог, включая цифровые системы ERTMS. Квантово-устойчивые алгоритмы (например, CRYSTALS-Kyber) рассматриваются как элемент будущей безопасности, особенно для защиты данных в системах управления.

Актуальные решения:

• Криптография на решётках (Lattice-based) для ключей шифрования. Устойчива к взлому даже самыми мощными компьютерами.
• Li-Fi сети в диспетчерских центрах: передача данных через светодиоды. Сигнал не выходит за пределы помещения, что исключает перехват.
• Блокчейн для журналов событий. Фиксация аномалий в распределенных реестрах. Это предотвращает удаление или подмену записей злоумышленниками.

Для программистов: Lattice-based криптография основана на сложности решения задачи обучения с ошибками (LWE). Её преимущество — устойчивость к атакам Шора на квантовых компьютерах.

Для новичков: Li-Fi — как Wi-Fi, но с использованием света вместо радиоволн. Данные передаются через «мигание» LED-ламп с частотой, незаметной для глаз.

Почему изменения ускоряются

До 2023 года модернизация тормозилась из-за стандартов длительного тестирования (например, ГОСТ Р 59639-2021). Сейчас регуляторы вводят «зелёные коридоры» для сертификации. В ЕС принята директива NIS 2, разрешающая удалённое обновление без остановки движения при условии контроля целостности ПО.

Главный урок: защита железных дорог требует не разовых мер, а экосистемы из технологий, регуляторики и подготовки кадров. Безопасность — это не продукт, а процесс, питаемый прозрачностью.

Итоги: баланс между рисками и реальностью

Уязвимости в железнодорожной инфраструктуре — следствие технологической эволюции. Переход от изолированных систем к IoT-архитектурам требует пересмотра подходов к безопасности.

Ключевые принципы:

• приоритет сегментации: разделение OT/IT значительно снижает риски;
• прозрачность вместо игнорирования: bug bounty эффективнее судебных исков;
• постепенная модернизация: замена протоколов важнее полного обновления парка.

Проблема не в отдельных уязвимостях, а в системном подходе. Железные дороги могут стать эталоном безопасности, если рассматривать исследователей как союзников, а не противников.