Kelemahan keselamatan kritikal dalam sistem brek kereta api akhirnya mendapat pengiktirafan rasmi setelah ditemui dan dilaporkan beberapa kali selama dua dekad. Kelemahan ini menjejaskan peranti End-of-Train dan Head-of-Train yang mengawal brek pada kereta api kargo merentasi United States , dengan kira-kira 70,000 peranti memerlukan naik taraf.
Isu ini berpunca daripada komunikasi radio tidak berenkripsi antara gerabak kereta api, membolehkan penyerang menghantar arahan brek palsu menggunakan peralatan radio yang ditakrifkan perisian yang murah dengan kos kurang daripada 500 dolar Amerika Syarikat. Ini bermakna seseorang dengan pengetahuan teknikal asas berpotensi menghentikan kereta api atau menyebabkan kegagalan brek dari jarak yang agak jauh.
Skala Peralatan yang Terjejas:
- 25,000 peranti Head-of-Train (HoT) memerlukan naik taraf
- 45,000 peranti End-of-Train (EoT) memerlukan naik taraf
- Jumlah: 70,000 peranti merentasi sistem kereta api US
- Garis masa naik taraf: Bermula pada tahun 2026
Penentangan Industri Walaupun Amaran Berulang
Apa yang menjadikan cerita ini amat membimbangkan ialah corak penentangan industri untuk menangani masalah tersebut. Kelemahan ini pertama kali dilaporkan kepada Association of American Railroads pada tahun 2005, kemudian ditemui semula oleh penyelidik Neil Smith pada tahun 2012, dan sekali lagi oleh Eric Reuter pada tahun 2018. Setiap kali, industri landasan kereta api meremehkan risiko atau menuntut bukti dunia sebenar yang tidak dapat diberikan dengan selamat oleh penyelidik.
Perbincangan komuniti mendedahkan ini bukan kes terpencil. Seorang bekas orang dalam industri berkongsi pengalaman mereka dari dua dekad yang lalu, menyatakan bagaimana mereka menunjukkan beberapa kelemahan berbeza semasa bekerja untuk syarikat landasan kereta api pendek, tetapi tiada apa yang berlaku kerana syarikat mengutamakan isu infrastruktur lain.
Garis Masa Kerentanan:
- 2005: Penemuan pertama dan laporan kepada Association of American Railroads
- 2012: Ditemui semula oleh Neil Smith semasa penyelidikan keselamatan ICS
- 2016: Artikel Boston Review diterbitkan mengenai penemuan ini
- 2018: Eric Reuter mendedahkan butiran teknikal di persidangan DEF CON
- 2024: Smith menyerahkan semula penemuan kepada CISA
- 2025: CISA menerbitkan nasihat rasmi (CVE-2025-1727)
Realiti Teknikal Berbanding Teater Keselamatan
Walaupun kelemahan ini kedengaran membimbangkan, ahli komuniti berpengalaman menunjukkan konteks penting tentang risiko eksploitasi sebenar. Serangan memerlukan kedekatan fizikal dengan landasan kereta api, dan akibatnya agak terhad. Brek kecemasan dianggap sebagai mod kegagalan selamat dalam operasi landasan kereta api, dan kereta api sudah mengambil masa yang agak lama untuk berhenti kerana berat badan mereka yang besar.
Sesetengah pemerhati menyatakan bahawa kereta api menghadapi banyak cabaran keselamatan fizikal selain ancaman siber. Kaedah mudah seperti meletakkan kabel lompat merentasi landasan juga boleh menghentikan kereta api, dan pintu perlintasan secara sejarahnya boleh dicetuskan dengan alat asas seperti paku.
Keperluan Serangan:
- Kos: Kurang daripada $500 USD untuk peralatan radio yang ditakrifkan perisian
- Akses: Memerlukan kedekatan fizikal dengan laluan kereta api
- Pengetahuan: Memerlukan pemahaman protokol yang mendalam
- Sasaran: Komunikasi radio tidak disulitkan antara peranti kereta api
Skop Terhad Tetapi Akibat Sebenar
Kelemahan ini terutamanya menjejaskan operasi kargo berbanding perkhidmatan penumpang. Kebanyakan kereta api penumpang menggunakan sistem kawalan yang berbeza dan biasanya lebih pendek, mengurangkan pergantungan mereka pada peranti End-of-Train. Walau bagaimanapun, potensi untuk mengganggu operasi kargo merentasi sistem landasan kereta api nasional kekal signifikan.
Nasihat terkini CISA mengakui bahawa eksploitasi memerlukan akses fizikal kepada landasan kereta api, pengetahuan protokol yang mendalam, dan peralatan khusus, yang mengehadkan serangan meluas. Namun begitu, agensi sedang bekerjasama dengan rakan kongsi industri untuk melaksanakan pembaikan, dengan naik taraf peranti dijangka bermula pada tahun 2026.
Insiden ini menyerlahkan ketegangan berterusan antara penyelidik keselamatan siber dan pengendali infrastruktur kritikal, di mana kebimbangan keselamatan yang sah kadangkala bercanggah dengan keutamaan operasi dan pertimbangan ekonomi. Selepas 20 tahun amaran, industri landasan kereta api akhirnya mengambil tindakan untuk mengamankan sistem keselamatan asas ini.
Rujukan: Train Brakes Can Be Hacked Over Radio—And the Industry Knew for 20 Years