Cybersecure Systeem Architectuur in Rail

Architecturen voor Cybersecure Command en Control Systemen

Open netwerken

Een van de meest voorkomende aanbevelingen en strategieën op het gebied van Cybersecurity is het scheiden van de applicatie en de communicatie lagen. De gedachte daarachter is dat als het lukt de communicatie laag “transparant te maken” voor de applicatie, je bij een security incident in de communicatie laag die laag kunt vervangen zonder de functionele eigenschappen en dus de (spoorweg)veiligheid van de applicatie aan te tasten. In theorie moeten dan ook de safety case en de certificaten voor de applicatie onafhankelijk van de communicatie laag zijn.

Dit principe paste men voor het eerst toe in ERTMS in de communicatie tussen baan en trein. De Euroradiolaag moest de datacommunicatie tussen baan en trein door middel van cryptografie beschermen tegen vervalsingen van berichten en daarmee onafhankelijk maken van het GSM-R kanaal.

In 2013 zien we dit principe terug in het KISA (Kommunikations Infrastruktur fur Sicherheitskritische Anwendungen) concept van Deutsche Bahn (DB Netze):

KISA Architectuur. (c) DB Netze, “Kan man sich geschlossene Netze noch leisten?”. S&D Kongress, 2013

De communicatie tussen de Betriebszentrale (Traffic Management Systeem) en de Unterzentrale (bijv. een interlocking of een RBC) verloopt via een open netwerk en wordt beschermd en bewaakt door het KISA Sicherheitscenter. De gedachte daarbij is dat je de beste netwerkencryptie koopt die je kunt betalen (“military grade”). Ooit zal die wel  worden gekraakt en dan moet je die zo snel mogelijk vervangen door een betere die er tegen die tijd dan hopelijk is. Het TMS, de Interlocking en het RBC worden niet vervangen, alleen de modems en routers waarmee ze aan het netwerk hangen.

Ook vandaag de dag worden deze aanbevelingen gedaan voor ERTMS, bijv. naar aanleiding van de kritiek van het het Bureau Informatie Technologie (BIT) op de zwakke cybersecurity analyse van ERTMS.

Bij de implementatie van Euroradio en GSM-R in ERTMS is het niet echt gelukt deze strakke scheiding met standaard interfaces aan te houden. Daarbij komt dat deze architectuur wel beschermt tegen vervalsing, intrusion en dergelijke risico’s, maar niet tegen denial of service aanvallen. Om het treinverkeer stil te leggen is het immers helemaal niet nodig berichtenverkeer te onderscheppen of te vervalsen. Als de communicatie tussen baan en trein wordt onderbroken stopt na een enkele minuut de trein vanzelf. Dat is nu juist een gevolg van veiligheidsvoorwaarde in het ontwerp van het ERTMS systeem. Met een simpele jamming aanval leg je het radioverkeer plat. Dat is in 2015 al beschreven en gedemonstreerd in het UIC Secret project. Elke GSM-R mast is dus een “attack vector” voor kwaadwilligen.

Een ander bezwaar is dat deze architectuur aanbevelingen alleen realiseerbaar is in moderne systeemarchitecturen die op IT platformen en open communicatie standaarden zijn gebaseerd. Maar voor oudere systemen met niet-standaard communicatie verbindingen, denk in Nederland aan EBS en VPI, lukt dat niet zomaar. En toch zullen die ook steeds meer over open netwerken moeten gaan communiceren, al was het maar omdat als die eigen, specifieke en zogenaamd gesloten, netwerken niet meer te betalen en onderhouden zullen worden, of al zijn.

Links:

http://www.secret-project.eu/IMG/pdf/white_paper_security_of_railway-against_em_attacks.pdf

http://www.cyrail.eu/IMG/pdf/final_recommendations_cyrail.pdf

https://www.commoncriteriaportal.org/files/ppfiles/pp0085a_pdf.pdf

Kann man sich geschlossene Netze noch leisten?, 13. Internationaler SIGNAL+DRAHT – Kongress, 2013

Posted in cybersecurity | Leave a comment

Aspect2019 Programme

www.irse.org/events/Lists/Calendar/Attachments/652/190317 aspect 2019 programme v1-1.pdf

The Aspect2019 Programme is now online. Proud to be on the organising committee

Posted in IRSE | Leave a comment

Signal Audible Fixe

Appareils de Sécurité et Signaux de Chemins de Fer

The Dutch Railway Museum in Utrecht has decided to clean up its library and was selling books of which they had multiple copies in a “garage sale” during the Model Train Expo 2019. I picked up a copy of a small booklet published by Saxby and Farmer in 1878 for 1 euro. The booklet is in French and apparently was a translation of two chapters of “Railway Appliances” by John Wolfe Barry. Most likely Saxby & Farmer were advertising their products on the Belgian market. Amongst other things it describes the principle of using detonators as fog signals and then describes experiments with early versions of an Automatic Warning System, using a curved metal bar that lifts a rod connected to the whistle or gong on a locomotive to alert the driver he passes a signal or distant signal at danger. It goes on to mention this can also be achieved using electrical principles and concludes that is could be a powerful addition to visible signals (semaphores obviously), but is unlikely to replace them.

The original text of “Railway Appliances” ( this subject is on the original page 109) can be found on archive.org, the book has been digitised by Google.

D’autres moyens tendant à produire des signaux audibles ont été proposés, et sont en voie d’expéri­mentation. Les mieux connus sont ceux qui agissent sur le sifflet de la locomotive ou sur des’ timbres fixés sur la machine ou dans le wagon du conducteur. On les installe de la manière suivante (voir fig. 14): A l’endroit où il convient de donner un signal audible aux agents ayant charge du train, on fixe un plan incliné rigide ou élastique de façon qu’une tige en fer qui communique avec le sifflet ou le timbre puisse être soulevée verticalement au passage de la locomo­tive ou du wagon. Le mouvement imprimé à cette tige ouvre le sifflet ou soulève un marteau qui frappe sur un timbre, attirant ainsi l’attention du mécanicien ou du conducteur. Ce plan incliné est mobile, de sorte que si le bras sémaphorique indique ‘Voie libre’ le plan incliné disparaît, mais lorsque le bras indique 1Arrêt ’ le plan mobile se trouve placé de façon qu’il agit sur la tige pendante. On a atteint le même but en employant l’électricité, le contact s’établissant et se rompant par les mêmes moyens que ceux décrits ci-dessus. Il va sans dire que ce système exige non- seulement que toutes les locomotives de la compagnie sur les lignes de laquelle ce système de signaux audi­bles est en usage soient munies des tiges et leviers nécessaires, mais aussi que les locomotives des com­pagnies qui ont le droit de parcours sur le réseau soient également pourvues de cet appareil. Il est fort possible qu’un système semblable puisse être con­sidéré comme constituant un adjoint important des signaux optiques, mais il n’est pas probable qu’il les remplacera, parce que les signaux optiques sont beau­coup plus simples, moins sujets à se déranger et, sauf le cas de brouillard, beaucoup plus efficaces que les signaux audibles.

Posted in ATB | Leave a comment

Een Braam gevonden

Soms is de informatie die je zoekt dichterbij dan je denkt. Zoals in de boekenkast. In “Spoorwegongevallen in Nederland” 1839-1993 heeft Jongerius in het stukje “ATB anno 1900” een heel stuk gewijd aan de beproeving bij de Staatsspoorwegen van het Stelsel van Braam en ook aan de proeven met het Drivers Cab Signal trouwens. Hoofdstuk 7, blz 84 ev. voor de liefhebber van zacht fruit in het seinwezen.

In de octrooien databases vind je uit de periode 1901-1913 ongeveer 33 patenten voor de onderdelen van dit systeem in Frankrijk, Duitsland, Spanje, Zwitserland, Groot-Brittannië en de VS. Een aantal betreft verbeteringen van die onderdelen. Ze staan op naam van “Jacques-Pierre de Braam” die de Nederlandse nationaliteit heeft. Merkwaardig dat “deBraam” terwijl het systeem het “système van Braam” wordt genoemd. Misschien beter voor de zaken in Frankrijk, of chiquer die verfransing?

Van Braam richtte zijn bedrijf, “Société Générale des Appareils de Sécurité de Chemins de Fer, Systéme van Braam”  in 1902 op en in 1924 ging het failliet, de proeven hadden niet tot acceptatie en bredere invoering van het système geleid. De elektrische en inductieve train stop systemen, zoals de crocodile, de GWR ATC en Indusi hadden het gewonnen van de storingsgevoelige mechanische systemen.

Posted in ATB | Leave a comment

Vroeg ATB cabinesein

Vroeg ATB cabinesein, waarschijnlijk mat ‘54 met de drie remcriteria

Posted in Uncategorized | Leave a comment

ATB. Hoe het begon

Ik vond gisteren in het Utrechts archief een verslag uit 1957  van de bespreking tussen GRS en NS in Rochester, waarin wordt afgesproken hoe in Nederland de ATB zal gaan werken en beproefd worden. Boeiend, je ziet de contouren van wat we nu hebben opduiken. En wat dingen die me verrasten. Bijv. dat aanvankelijk een train stop systeem gebaseerd op continue code in het spoor voor rijden en afwezigheid van code voor stoppen/lage snelheid werd bedacht, met de mogelijkheid dat later uit te bouwen tot volledige cabinesignalering en snelheidsbewaking. Code 180 voor rijden en code 270 voor BD schakelen. Die code ritme volgorde is dus pas later omgedraaid. En gelijk al dat gat in het lage snelheidsgebied.

Hieronder voor de liefhebber de transcriptie van de eerste pagina (van zeven) van het verslag (terzijde tekstherkenning door de computer van een foto van een blauwe carbon doorslag valt trouwens erg tegen 😉 dus de overige tekst volgt later.

================================================================

Schetsje van het cabinesein in de marge van het verslag

Automatische Treinbeheersing (A.T.B.)

en Cabineseinen.

Verslag van de besprekingen met G.R.S., gehouden door ir. van Heemstra en ir. Verheul te Rochester, April. ’57.

1      inleiding

Het doel van de besprekingen was:

  • Het vastleggen van de eisen voor een systeem van automatische treinbeheersing, geschikt voor toepassing op de NS lijnen voorzien van gemoderniseerde beveiliging.
  • Het vaststellen van de schakeling en benodigde apparatuur voor de installaties op loc ‘n (c.q. treinstellen).
  • Idem voor de baaninstallaties.
  • Het vaststellen van de maatregelen, nodig om te komen tot een

2         Algemene principes .

Na enige discussies met mr. Langdon en andere G.R.S. specialisten en ir. de Blieck van SSI, welke besprekingen de reeds eerder opgesteldeNS-eisen en wensen als uitgangspunt hadden, zijn we tenslotte gekomen tot vaststelling van de volgende eisen:

  1. Het systeem beoogt in eerste instantie geen toepassing van cabineseinen of volledige autom. snelheidsbeheersing, doch uitsluitend een Aut. Treinstop. Dit om een te gecompliceerd systeem en buitengewoon hoge kosten te vermijden. Cabineseinen vereisen toepassing van een te groot aantal codes i.v.m. de vele over te dragen seinbeelden.
  2. Met in achtname van het onder 1evermelde, is het systeem in principe geschikt voor latere uitbreiding met cab. seinen, c.q. volledige snelheidsbeheersing.
  3. Het systeem zal uiteraard berusten op continue overdracht van spoor op locomotief.
  4. De apparatuur zal zodanig zijn, dat bij passeren van een sein dat opdracht geeft tot remmen naar stilstand of lage snelheid, op de loc een optische en acoustische indicatie verschijnt, die een remopdracht inhoudt. De loc. apparatuur dient zodanig te zijn dat binnen 5 sec. remming tot lage snelheid (ca 30-40 Km/h) afgedwongen wordt. Niet reageren hierop of weer verhogen van deze snelheid, zonder dat het seinbeeld minder restrictief is geworden, resulteert in een autom. bedrijfsremming tot stilstand.

Toelichting:

Overwogen is, om bij het seinbeeld R een bedrijfsremming tot stilstand af te dwingen, doch dit idee moest worden verlaten om 3 redenen:

a) Binnenkomst op bezet spoor zou dan onmogelijk zijn, immers dan is ook geen code aanwezig.

b) De zeer hoge kosten, omdat dan een 2e code toegepast moet worden en extra geïsol. secties vóór elk sein om de volledige remming in te leiden vóór het sein dat R toont.(een code~change-point of B-point)

c) Dit zou leiden tot een zeer stroeve exploitatie, omdat de lengte van de onder b) genoemde extra sectie berekend moet zijn op de slechtst beremde treinen en er van moet worden uitgegaan dat deze treinen de hoogst toegestane snelheid rijden.

5. Als aanvulling op het onder 4e. genoemde, zal ingevoerd worden een systeem van verplicht “quiteren” door de mcn, steeds na 60 sec. gedurende hetrijdenmet lage snelheid tijdens afwezigheid van code. .Bij nalaten van het quiteren treedt autom. bedrijfsremming tot stilstand op.

6. Bij verlaten van een spoor, uitgerust met A.T.B. wordt automatisch de loc.app. uitgeschakeld en een cabinesein “B.D.” (Buiten Dienst). Omgekeerd dient bij het binnenrijden van een met A.T.B. voorzien gebied, de loc. Apparatuurweer autom. in werking gesteld te worden.

7. Na bedrijfsremming tot stop kan pas weer verder gereden worden na bedienen van een schakelaar aan de buitenzijde van de loc.waarvoor de mcn de cabine moet verlaten.

Hierna werd de benodigde apparatuur op de loc. nader besproken; een schema kon i.v.m. tijdsgebrek nog niet beschikbaar gesteld worden; G.R.S. wilde nl. eerst nog een installatie in het laboratorium beproeven en eventueel details wijzigen.

Een eerste opzet van de baanapparatuur werd opgezet, bestudeerd en aan het eind van ons bezoek gereviseerd. (zie bijlage)

Posted in Uncategorized | Leave a comment

Stelsel van Braam

van braam

ca 1912 uit Gullère: Selbsttätige Signale

Bij het schrijven van het stukje over de parallellen tussen de invoering van ATB en ERTMS in Nederland viel me ineens een verwijzing naar het systeem van de Nederlandse ir. van Braam, dat rond 1910 in Nederland, maar ook in Duitsland en Frankrijk beproefd was. Nooit iets van gehoord en als ATB specialist wilde ik daar toch iets meer van weten. Het is altijd leuk om wat meer van de geschiedenis en de achtergronden van je eigen vak te weten.

Dat viel nog niet mee, maar inmiddels heb ik over de werking en de geschiedenis wel wat meer gevonden. Nederlandse bronnen melden weinig, alleen Guus van Veenendaal wijdt er een paar alinea’s aan in zijn boek over spoorwegen van 1834 tot nu, Duitse en Franse sites hebben meer informatie. Alleen nog bar weinig over die ir van Braam zelf en waarom hij nou eigenlijk in Frankrijk dat bedrijfje oprichtte. Waarschijnlijk waren ook die die tijd de nationale spoorwegmarkten al wat gesloten en moest hij wel. Ook over de proeven die de Staatsspoorwegen in 1909-1910 op het baanvak Gouda-den Haag deden heb ik tot nu toe maar weinig inhoudelijks kunnen vinden.

Het systeem zelf was een voor die tijd vrij ingenieus systeem dat met twee voelstiften die door aanslagplaten in de baan omgelegd konden worden in staat was een waarschuwing bij een (onveilig) voorsein en een snelremming bij het rijden voorbij een onveilig hoofdsein te veroorzaken. Daarbij had het ook nog een vrij elementaire signalering in de cabine. Wie meer wil weten moet maar even op mijn seinwezen site kijken. Van die vroege uitvoering in Duitsland op de foto werd nog schamper opgemerkt dat het aanbrengen van het apparaat op het afgeveerde deel van de lok niet zo’n goed idee was. De taststiften kunnen dan natuurlijk ook wel eens over de aanslag heen wippen. Die uitvinders toch, die van die spoorse omgeving zo weing snappen. Je hoort het ook vandaag de dag nog wel eens…. Kinderziektes zijn natuurlijk van alle tijden, die zagen we in de ATB en bij ERTMS trouwens ook wel.

Net als alle mechanische systemen uit die tijd was het nogal gevoelig voor defecten en uiteindelijk kregen de elektrische systemen als de Crocodile in Frankrijk en het Inductieve systeem Indusi in Duitsland de overhand en werden de proeven met het systeem van van Braam beëdigd en ging in 1924 zijn Société Générale van de Appareils de Sécurité van Chemins de Fer, Systéme van Braam failliet. Altijd al een moeilijke markt geweest dat seinwezen.

Mocht je meer bronnen of materiaal hebben, dan is een berichtje natuurlijk welkom.

Posted in Uncategorized | Leave a comment