do ministra cyfryzacji, prezesa Rady Ministrów
w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego oraz bezpieczeństwa pasażerów podróżujących składami kolejowymi "Impuls" firmy Newag
Zgłaszający: Przemysław Wipler
Data wpływu: 19-12-2023
Szanowni Panowie Ministrowie,
w odpowiedzi na prezentację wyników badań pożytecznych i etycznych hakerów z grupy Dragon Sector oraz opisy medialne tych wyników wyrażam zdecydowane zaniepokojenie o cyberbezpieczeństwo i bezpieczeństwo transportu kolejowego oraz bezpieczeństwo pasażerów.
Według tych informacji operatorzy składów kolejowych “Impuls” wyprodukowanych przez firmę Newag borykali się z problemami uniemożliwiającymi uruchomienie tych pojazdów. Co ciekawe, problemy z uruchomieniem występowały po naprawach lub przeglądach technicznych w warsztatach firm konkurencyjnych, tj. nie prowadzonych przez firmę Newag. Firmy te zaangażowały grupę etycznych hakerów do zbadania sprawy, gdyż zachodziło podejrzenie celowej blokady programowej.
W wyniku analizy i inżynierii wstecznej odtworzono logikę i kody źródłowe programów sterujących składami kolejowymi. Okazało się, że w działaniu było oprogramowanie blokujące uruchomienie pociągów. Według analiz blokady miały zostać włączone po spełnieniu różnego rodzaju warunków. Przykładowo, pociągu nie dało się uruchomić, gdy ten nie poruszał się w ciągu iluś dni (np. 10, 21), gdy przejechał np. 1000 000 kilometrów, ale także gdy stwierdzono jego obecność w innych warsztatach naprawczych - innych, tj. konkurencyjnych wobec firmy Newag. Nie stwierdzono kto odpowiada za modyfikację i wdrożenie takiego systemu ograniczeń, ale stwierdzenie nasuwa się samo. Jest ono zresztą silnie sugerowane w debacie publicznej, a nawet mówione tak wprost.
Faktycznie, jedynie w interesie firmy Newag mogło leżeć nałożenie takich ograniczeń. W odpowiedzi na doniesienia o blokadach firma Newag próbowała desperacko bronić się, wysuwając różne niestworzone historie, ale w ocenie ekspertów tłumaczenia te są na wyrost, są niezrozumiałe, niemożliwe nawet technicznie. Co więcej, w obliczu konfrontacji z ustaleniami informatyków światowej klasy wyjaśnienia tej firmy są co najmniej nieprzekonujące.
Pragnę wyrazić też oburzenie pojawiającymi się w przestrzeni publicznej doniesieniami wskazującymi, że mogło dojść do obniżenia bezpieczeństwa pasażerów. A to choćby za sprawą odłączenia jednej warstwy nadmiarowych zabezpieczeń, kiedy to hipotetycznie pociąg mógłby zatrzymać się w sposób nieprzewidziany, gdy na liczniku przekroczył liczbę 1000 000 przejechanych kilometrów. Mieliśmy w ostatnich latach tragiczne w skutkach wypadki kolejowe i powinno nam zależeć na bezpieczeństwie transportu kolejowego. Badania i ustalenia tej grupy informatyków były całkowicie zgodne z prawem i prowadzono je na zlecenie innych spółek. Ponadto mają duże znaczenie dla spraw publicznych. Są transparentne. Nie można ich przemilczeć. Powinno nam zależeć na wsparciu rodzimych firm producentów, ale prace muszą być prowadzone w sposób uczciwy. Chodzi także o reputację Polski.
Z uwagi na powyższe, jest to zdecydowanie sprawa, która powinna angażować organy państwa. To zdarzenie jest o tyle zaskakujące, że dotyka sfer regulowanych prawem. Prawo kolejowe, prawo konkurencji, prawo cyberbezpieczeństwa - to tylko trzy przykłady.
W związku z tym należy odpowiedzieć na wiele, naprawdę wiele pytań. Tylko kilka z nich stawiam w tym wystąpieniu. Jak to jest możliwe, że ktoś celowo wyposaża produkt w funkcje wadliwe? Jak wykazano, oprogramowanie w elektrycznych zespołach trakcyjnych “Impuls” blokowało uruchomienia falownika niezbędnego do dostarczenia pojazdowi mocy. W jednym przypadku fałszywie zgłaszano usterkę sprężarki, co było skutecznym sposobem zamaskowania sztucznie wytworzonego problemu, ale czy taka powinna być jakość polskiego produktu transportowego? Jeśli to nie jest ingerencja w zasady rynkowej konkurencji, to co nią jest?
Z doniesień publicznych wiemy już, że sprawa powinna być znana polskim służbom bezpieczeństwa, a także prezesowi UOKiK. Co zrobiono w tej sprawie? Nawet jeśli w instytucjach tych przypadkowo zgubiono zgłoszenia lub skargi, to przecież ludzie w nich czytają prasę, a sprawa jest publiczna i głośna. Polacy oraz ja sam zasługujemy na odpowiedzi na wiele innych pytań, odpowiedzi wyczerpujące. A zatem:
1. Czy planuje się jakieś dalsze działania wyjaśniające w poruszonej sprawie? Jakie? Jakich organów? Kiedy one nastąpią?
2. Czy raport z tych działań będzie publicznie dostępny, w sposób transparentnych? Jeśli tak, to kiedy?
3. Czy ustalono czy niestandardowe funkcje tego rodzaju mogły mieć wpływ na bezpieczeństwo pasażerów? Dlaczego Urząd Transportu Kolejowego odmawia podjęcia działań? Twierdzi, że cytuję: “UTK stoi na straży bezpieczeństwa ruchu kolejowego i regulacji”. I co z tego wynika?
4. Wg doniesień prasowych “Prezes UTK posiada uprawnienia do wyłączenia pojazdów z eksploatacji tylko, jeżeli nie spełniają one wymagań ustawy o transporcie kolejowym. A takich przesłanek Urząd dotąd nie znalazł”, czy także w sytuacji, gdy zachodzą wątpliwości wobec bezpieczeństwa w transporcie kolejowym? To za co mu płacą?
5. Dlaczego UOKiK nie wystosował publicznie komunikatu o podejmowanych działaniach? Czy w ogóle podjęto jakieś działania?
6. Czy ustalono jaki ewentualnie negatywny wpływ na rynek w Polsce mogą mieć takie działania podmiotu gospodarczego, firmy Newag?
7. Jakie mogą być konsekwencje dla polskich firm biorących udział w przetargach na rynku europejskim?
8. Czy ustalono konsekwencje dla cyberbezpieczeństwa? Czy następuje obsługa tego zdarzenia w charakterze incydentu w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa?
9. Czy spełniono kryteria wynikające z art. 109 ust. 1 pkt 5, 7, 10 ustawy Prawo zamówień publicznych, tj. np. (pkt 5) czy uznano działania firmy Newag za “poważnie naruszające obowiązki zawodowe, co podważa jego uczciwość”?
10. Czy UOKiK prowadzi postępowanie w ww. sprawie? Jeśli tak, to w jakim zakresie? Czy chodzi o ustalenie ewentualnego nadużycia pozycji dominującej? Czy doszło do świadomego dostarczenia produktu wadliwego? Czy ministrowie właściwi nie powinni zawnioskować do UOKiK o podjęcie takich działań?
11. Czy w ww. sprawach doszło do oszustwa komputerowego (art. 287 § 1 K.k.)? Zacytuję: “Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5”.
12. Co organy państwa zrobiły lub planują zrobić w reakcji na wskazane wyżej i opisywane przez media możliwe nieprawidłowości?
13. Jeśli sprawa jest znana od 2022 r., a my mamy już prawie 2024 r., to przepraszam bardzo, czy my żyjemy w poważnym państwie? Czy w świetle bezczynności ministrów rządu Mateusza Morawieckiego administracja premiera Tuska planuje podjąć jakieś działania w ww. sprawie?