Interpelacja nr 7393

do ministra infrastruktury

w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA

Zgłaszający: Paulina Matysiak

Data wpływu: 13-01-2025

Szanowny Panie Ministrze,

w związku z ujawnieniem potencjalnych zagrożeń dla infrastruktury krytycznej państwa, związanych z wykryciem mechanizmów celowo wywołujących awarię w systemach sterowania taborem kolejowym firmy Newag, składam niniejszą interpelację dotyczącą działań podejmowanych przez organy państwowe w tej sprawie.

Analizy techniczne wykonane przez ekspertów ds. cyberbezpieczeństwa wskazały na obecność funkcji w kodzie oprogramowania, które ograniczały działanie systemów sterowania w pociągach eksploatowanych przez polskich przewoźników. Prokuratura Regionalna w Krakowie prowadzi śledztwo (sygn. 2004-1.Ds.8.2023), którego celem jest wyjaśnienie tej sprawy. Szczególny niepokój budzi fakt, że wykryte modyfikacje oprogramowania prowadziły do nieplanowanych zatrzymań składów kolejowych firmy Newag na podstawie odczytu bieżącej lokalizacji geograficznej (koordynaty GPS). Awarie były wynikiem zapisów w kodzie oprogramowania.

W kontekście obecnej sytuacji geopolitycznej naszego kraju oraz znaczenia infrastruktury krytycznej (w tym również kolejowej) dla bezpieczeństwa państwa, bezwzględnie konieczne wydaje się kompleksowe wyjaśnienie tych, jak i wszystkich podobnych im incydentów. Szczególnej uwagi wymaga weryfikacja potencjalnych zagrożeń dla ciągłości funkcjonowania transportu kolejowego w czasie krytycznym bądź w chwili zagrożenia oraz wykluczenie ewentualnej możliwości wykorzystania wykrytych podatności przez podmioty zewnętrzne działające na szkodę Polski.

Mając na uwadze powyższe oraz kierując się troską o bezpieczeństwo obywateli i infrastruktury krytycznej państwa oraz działając na podstawie art. 14 ust. 1 pkt 7 ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (t.j. Dz. U. z 2022 r. poz. 1339), proszę o udzielenie odpowiedzi na następujące pytania:

  1. Czy analogiczne sytuacje (celowe awarie wywoływane na podstawie koordynatów GPS zapisanych w kodzie oprogramowania) występują również w systemach innych producentów taboru kolejowego? Czy tabory kolejowe są sprawdzane pod tym kątem przez końcowych użytkowników przy odbiorze zamówionych taborów od producentów, względnie po przeprowadzonych u nich remontach bądź ich modernizacjach? Jak wygląda szczegółowo proces sprawdzania bezpieczeństwa przyjmowanych do eksploatacji elementów taboru kolejowego, w szczególności w aspekcie ich oprogramowania? Jak wyglądają procedury zapobiegania sabotażom i lub aktom terroryzmu poprzez stosowne zmodyfikowanie wgranego na poziomie produkcji oprogramowania taborowego mogące doprowadzić do katastrofy w ruchu kolejowym? Czy odbierane przez podmioty zamawiające elementy taboru są sprawdzane na okoliczność zaszycia w ich oprogramowaniu na etapie produkcji bądź remontu tzw. backdoorów umożliwiających osobom bądź podmiotom trzecim nieautoryzowany dostęp do oprogramowania elementów taboru? Jaka instytucja w państwie odpowiada za zapewnienie bezpieczeństwa w tym zakresie i identyfikację nieautoryzowanego dostępu do oprogramowania elementów taboru?
  2. Jakie kroki zostały podjęte przez przewoźników oraz producenta w celu wyjaśnienia zagrożeń związanych z funkcjonowaniem mechanizmów ograniczających działanie oprogramowania w pociągach firmy Newag oraz zapobiegania podobnym problemom w przyszłości?

  3. Czy Ministerstwo Infrastruktury lub jednostki podległe przeprowadziły analizę wpływu funkcji ograniczających działanie oprogramowania pociągów firmy Newag na bezpieczeństwo obywateli oraz funkcjonowanie infrastruktury krytycznej?

  4. Czy w ramach działań ministerstwa lub podległych jednostek (np. Urzędu Transportu Kolejowego, Agencja Bezpieczeństwa Wewnętrznego) badano podobne zagrożenia dla taboru kolejowego innych producentów, w tym również zagranicznych? Jak wygląda certyfikacja producentów taboru chcących oferować swoje produkty na rynku polskim? Czy zamawiający i/lub użytkownicy tego typu sprzętu mają możliwość przeglądu i ewentualnej modyfikacji oprogramowania tego typu, celem zapewnienia bezpieczeństwa funkcjonowaniu składów kolejowych w Polsce?

  5. Jakie działania podjęto w celu zapewnienia, że analogiczne incydenty nie będą miały miejsca w przyszłości? Jaka państwowa instytucja jest odpowiedzialna za nadzór i zapewnienie bezpieczeństwa na poziomie oprogramowania składów kolejowych jeżdżących po Polsce?

  6. Czy składy kolejowe zagranicznych przewoźników kolejowych dopuszczone przez UTK do świadczenia usług w Polsce podlegają jakiejkolwiek kontroli przed modyfikacją bądź przejęciem ich oprogramowania celem dokonania sabotażu bądź aktu terroryzmu?

  7. Czy ministerstwo zebrało dane o szacunkowych stratach finansowych poniesionych przez przewoźników oraz Skarb Państwa w związku z awariami pociągów wynikającymi z celowych zapisów w kodzie ich oprogramowania? Jeśli tak, jakie są wyniki tej analizy? Proszę o przekazanie w tym zakresie całości wytworzonych i/lub zebranych materiałów i dokumentów, w tym również treści takowych materiałów i/lub dokumentów dotyczących tej sprawy znajdujących się w systemie EZD, bądź w innym analogicznym systemie elektronicznego obiegu i zarządzania dokumentacją.

  8. Czy Ministerstwo Infrastruktury współpracuje z innymi organami państwowymi (np. Ministerstwem Cyfryzacji, Ministerstwem Spraw Wewnętrznych i Administracji) w celu poprawy cyberbezpieczeństwa w transporcie kolejowym? Jeśli tak, to jakie są konkretne działania podejmowane w tym zakresie na przestrzeni ostatniego roku? Jaka jednostka ministerialna, bądź ministerstwu podległa jest za to odpowiedzialna? Czy funkcjonujące w Polsce składy i tabory kolejowe, które zostały dopuszczone do ruchu przez UTK przechodzą cyklicznie kontrole i są certyfikowane pod kątem bezpieczeństwa ich oprogramowania? Jeśli tak, jak często się to odbywa, i jaka instytucja państwa odpowiada za ten proces oraz jak szczegółowo wygląda jego procedura?

Z wyrazami szacunku

Paulina Matysiak
Posłanka na Sejm RP