Interpelacja nr 7396

do ministra cyfryzacji

w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA

Zgłaszający: Paulina Matysiak

Data wpływu: 13-01-2025

Szanowny Panie Ministrze,

w związku z ujawnieniem potencjalnych zagrożeń dla infrastruktury krytycznej państwa, związanych z wykryciem mechanizmów celowo wywołujących awarię w systemach sterowania taborem kolejowym firmy Newag, składam niniejszą interpelację dotyczącą działań podejmowanych przez organy państwowe w tej sprawie.

Analizy techniczne wykonane przez ekspertów ds. cyberbezpieczeństwa wskazały na obecność funkcji w kodzie oprogramowania, które ograniczały działanie systemów sterowania w pociągach eksploatowanych przez polskich przewoźników. Prokuratura Regionalna w Krakowie prowadzi śledztwo (sygn. 2004-1. Ds.8.2023), którego celem jest wyjaśnienie tej sprawy. Szczególny niepokój budzi fakt, że wykryte modyfikacje oprogramowania prowadziły do nieplanowanych zatrzymań składów kolejowych firmy Newag na podstawie odczytu bieżącej lokalizacji geograficznej (koordynaty GPS). Awarie były wynikiem zapisów w kodzie oprogramowania.

W kontekście obecnej sytuacji geopolitycznej naszego kraju oraz znaczenia infrastruktury krytycznej (w tym również kolejowej) dla bezpieczeństwa państwa, bezwzględnie konieczne wydaje się kompleksowe wyjaśnienie tych, jak i wszystkich podobnych im incydentów. Szczególnej uwagi wymaga weryfikacja potencjalnych zagrożeń dla ciągłości funkcjonowania transportu kolejowego w czasie krytycznym bądź w chwili zagrożenia oraz wykluczenie ewentualnej możliwości wykorzystania wykrytych podatności przez podmioty zewnętrzne działające na szkodę Polski.

Mając na uwadze powyższe oraz kierując się troską o bezpieczeństwo obywateli i infrastruktury krytycznej państwa oraz działając na podstawie art. 14 ust. 1 pkt 7 ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (t.j. Dz. U. z 2022 r. poz. 1339), proszę o udzielenie odpowiedzi na następujące pytania:

  1. Jakie działania podjęto w zakresie cyberbezpieczeństwa, aby wyjaśnić awarie pociągów firmy Newag i zapobiec podobnym incydentom w przyszłości?
  2. Jakie mechanizmy nadzoru i kontroli cyberbezpieczeństwa są stosowane wobec oprogramowania i urządzeń dostarczanych przez producentów taboru kolejowego? Czy wyniku awarii pociągów firmy Newag są przewidywane zmiany regulacyjne w tym zakresie?
  3. Czy Ministerstwo Cyfryzacji współpracuje z innymi organami państwowymi (np. MSWiA, UOKiK, UTK) w tej sprawie?
  4. Jakie wnioski wynikają z analizy tej sprawy w kontekście cyberbezpieczeństwa infrastruktury krytycznej? Jakie działania podjęto w odpowiedzi na te wnioski?

Z wyrazami szacunku

Paulina Matysiak
Posłanka na Sejm RP