Per quanto riguarda il settore ferroviario, l'ENISA ha individuato minacce che vanno dal ransomware (45%) alle minacce legate ai dati (25%), che colpiscono principalmente i sistemi informatici come i servizi ai passeggeri, i sistemi di biglietteria e le applicazioni mobili, causando interruzioni del servizio. I gruppi di hacktivisti stanno lanciando sempre più spesso attacchi DDoS contro le compagnie ferroviarie, soprattutto a seguito dell'invasione dell'Ucraina da parte della Russia.
La maggior parte degli attacchi osservati ha preso di mira i sistemi informatici delle ferrovie (servizi ai passeggeri, sistemi di biglietteria, applicazioni mobili, tabelloni, ecc.), causando interruzioni dovute all'indisponibilità di tali servizi. Ne sono un esempio gli attacchi ransomware contro Skånetrafiken (agosto 2021) e Ferrovie dello Stato Italiane (marzo 2022), che hanno impedito ai clienti di acquistare i biglietti dopo l'infezione dei sistemi informatici. Gli unici casi in cui i sistemi e le reti OT sono stati colpiti sono stati quelli di intere reti o di sistemi IT mission-critical non disponibili.
Tra i furti di dati degni di nota si ricordano i casi di OmniTRAX, MTA, Merseyrail, Norfolk Southern Railroads e Lokaltog A/S, dove sono state rubate cartelle cliniche e personali. Quello di OmniTRAX è il primo caso pubblicamente noto di attacco ransomware a doppia estorsione contro un operatore ferroviario statunitense.
In un altro caso, la rete dell'operatore ferroviario danese DSB ha subito interruzioni del servizio (ottobre 2022) a causa di un attacco a uno dei suoi fornitori di servizi ICT in seguito a un presunto attacco DDoS. L'incidente avrebbe compromesso l'accessibilità di un sistema informatico fondamentale per la sicurezza, interrompendo le operazioni di DSB per diverse ore quel giorno.
In un caso interessante, gli hacktivisti hanno lanciato un attacco ransomware contro la compagnia ferroviaria statale bielorussa nel tentativo di interrompere i movimenti delle truppe russe (gennaio 2022). A tal fine, il gruppo ha utilizzato un ransomware modificato per mettere fuori uso il sistema ferroviario, criptando i server, i database e le stazioni di lavoro appartenenti al servizio ferroviario bielorusso.
Gli attacchi DDoS sono in aumento nel 2022 e rappresentano un quinto (20%) degli attacchi contro il settore ferroviario. Ciò è dovuto principalmente all'aumento dell'attività hacktivista in seguito all'invasione immotivata dell'Ucraina da parte della Russia. Elementi hacktivisti con sentimenti pro-russi/anti-NATO hanno lanciato attacchi DDoS contro le compagnie ferroviarie. Tra gli esempi vi sono gruppi di hacker filorussi che hanno rivendicato la responsabilità di attacchi all'operatore ferroviario CFR Calatori (aprile 2022), alle ferrovie lituane (giugno 2022), alle ferrovie passeggeri lettoni SJSC (giugno 2022) e alle ferrovie estoni (agosto 2022).
In termini di vulnerabilità (15%), spiccano due casi. Nel dicembre 2021, l'agenzia canadese per i trasporti Metrolinx ha chiuso temporaneamente il suo sito web come misura precauzionale dopo essere stata informata dal governo federale di una vulnerabilità informatica. Nel gennaio 2022, un hacker anonimo ha segnalato una vulnerabilità che ha colpito il sistema ferroviario nazionale svizzero, consentendo potenzialmente l'accesso ai dati personali dei clienti, conclude l'ENISA nella parte di questo rapporto dedicata al trasporto ferroviario.
