Niepotrzebny jest śnieg, żeby zatrzymać pociągi, autobusy i tramwaje. Mamy poważny kłopot
Newag odpiera zarzuty, jakoby wprowadził zmiany w oprogramowaniu powodujące usterki pociągów. Afera pokazuje jednak dobrze olbrzymie zagrożenie - tym bardziej że mijający rok obfitował w niepokojące zdarzenia.
Serwis Zaufana Trzecia Strona opisał historię kryjącą się za niedziałającymi pociągami firmy Newag Pojazdy będące w serwisie wydawały się sprawne, poza tym, że nie chciały jechać. Zanim trafiły do warsztatu działały dobrze, w trakcie działo się coś, przez co przestawały jeździć.
Na początku mogło się wydawać, że coś jest nie tak z serwisem. W międzyczasie jednak doszło do usterki pociągu, który na warsztat nie zdążył dojechać. Wtedy w kuluarach zaczęto podejrzewać, że to Newag zdalnie doprowadza do awarii. Po co? Żeby pociągi serwisowane były u nich, a nie w innych, tańszych firmach.
Sprawa była na tyle tajemnicza, że firma odpowiedzialna za serwis - Serwis Pojazdów Szynowych – zdecydowała się na zatrudnienie hakerów. Wnioski z ich pracy były zaskakujące i bardzo niepokojące.
- Nasza analiza dla firmy SPS Mieczkowski trwała dwa miesiące. Po tym czasie udało się nam odblokować pociągi. Dziś jesteśmy pewni, że to było celowe działanie ze strony Newagu. Odkryliśmy ingerencje producenta w oprogramowanie, które prowadziły do wymuszonych usterek, do tego, że pociągi nie ruszały z miejsca — powiedział Onetowi Michał Kowalczyk, jeden z członków Dragon Sector.
Najpierw ktoś z Newagu wpisał w oprogramowanie logikę, że jeśli pociąg stoi w miejscu dłużej niż dziesięć dni, wtedy nie ruszy z miejsca. Ktoś najwidoczniej wymyślił, że skoro pociąg stoi, to na pewno jest na przeglądzie w jakimś serwisie. Tyle że te pociągi stały także w hangarach Kolei Dolnośląskich. Ktoś z Newagu słusznie potem uznał, że to psuje narrację o niekompetencji SPS, dlatego wprowadzono swoistą "innowację". W kolejnych pojazdach odkryliśmy, że miały dodatkowe "zabezpieczenie": zadano im logikę, że nie ruszą z miejsca, jeśli będą stały w konkretnej lokalizacji na terenie Polski i tymi lokalizacjami była hala serwisowa firmy SPS oraz hale innych podobnych firm z branży. Wpisano nawet jedną z hal SPS, która dopiero była w budowie.
- tłumaczył Kowalczyk.
Newag w przesłanym do mediów komunikacie zaprzecza, jakoby celowo modyfikował oprogramowanie pociągów, by wywołać usterkę. „To pomówienie ze strony naszej konkurencji, która prowadzi nielegalną kampanię czarnego PR wobec nas” – zaznaczono.
Firma serwisująca tabor dla Kolei Dolnośląskich nie potrafiła wywiązać się ze zlecenia serwisu pociągów naszej produkcji i aby uniknąć kar umownych stworzyła tą spiskową teorię na potrzeby mediów. (…) Poza gołosłownymi zarzutami nie przedstawiono żadnego dowodu na to, iż to nasza firma celowo zainstalowała wadliwe oprogramowanie. W naszej ocenie prawda może być zupełnie inna – że np. to konkurencja ingerowała w oprogramowanie. Powiadomiliśmy w tej sprawie właściwe służby. Zresztą nie pierwszy raz powiadamiamy organy ściągania, iż w nasze oprogramowanie modyfikowane jest bez naszej autoryzacji. Już w 2022 informowaliśmy o tym także publicznie. Dziwi więc wystąpienie Janusza Cieszyńskiego byłego ministra cyfryzacji, który mówi o trwających śledztwach, wpisując się przy tym w rozpowszechnianie nieprawdziwych i wysoce szkodliwych informacji na temat NEWAG, a nie dodając, że wszczęto je z naszych zawiadomień.
- napisano w oświadczeniu.
Hakowanie systemów informatycznych jest złamaniem wielu przepisów prawa i zagrożeniem dla bezpieczeństwa ruchu kolejowego – zaznaczył Newag w swoim oświadczeniu
Abstrahując od tego, kto ma w tym sporze rację, bo tym się pewnie będą zajmowały odpowiednie służby, warto zatrzymać się przy tym stwierdzeniu. Jest ono boleśnie prawdziwe, o czym przekonał sam tylko 2023 r.
W tym przypadku hakerzy wkroczyli do akcji, żeby wyjaśnić sprawę. Niestety nie możemy wykluczyć scenariusza, w którym to cyberprzestępcy będą szukali luk, aby uderzyć w transport publiczny. Już w 2022 r. pisaliśmy o tym, że kolej nie tylko w Polsce, ale i na świecie przeznaczy więcej środków na cyberbezpieczeństwo. W raporcie “Cybersecurity Market Global Opportunity Analysis and Industry Forecast, 2021-2031" prognozowano, że rynek cyberbezpieczeństwa na kolei do 2029 roku osiągnie wartość 16,77 mld dol. Ma to być spory wzrost, bo obecnie wyceniany jest na 10 mld dol.
- Aby uzmysłowić sobie szanse i zagrożenia, warto spojrzeć na nowy dworzec w Rzeszowie – wyposażony został w zaawansowaną infrastrukturę IT: ogniwa fotowoltaiczne służące pozyskiwaniu energii słonecznej, energooszczędny system oświetlenia LED wraz z automatyką sterującą, klimatyzatory, systemy zarządzania wodą, wentylacją, schody ruchome, a także systemy alarmowe – wszystko to jest podłączone do sieci. Potencjalny cyberatak na taki dworzec mógłby doprowadzić do całkowitego paraliżu obiektu. Nietrudno wyobrazić sobie, co się stanie, jeśli tych dworców zostałoby zaatakowanych w kraju kilkadziesiąt – zwraca uwagę Krzysztof Wójtowicz z ICsec, certyfikowanego dostawcy rozwiązań z zakresu cyberbezpieczeństwa dla kolei.
Nie musieliśmy sobie tego wyobrażać
W Olsztynie doszło do cyberataku na sieć ZDZiT Olsztyn. „Niedziałające systemy sterowania ruchem, biletomaty i ograniczony dostęp do systemu informacji pasażerskiej - to tylko niektóre efekty ataku hakerskiego” – pisał Urząd Miasta w komunikacie. Chociaż do ataku doszło w nocy z 24 na 25 czerwca, aż do sierpnia walczono z jego skutkami.
- Starty szacowane są na 1,2 mln zł i wynikają z czasowego braku dostępności pełnej puli biletów komunikacji miejskiej, co miało miejsce w pierwszych tygodniach po zdarzeniu mającym znamiona ataku hakerskiego. W pewnych okresach mieszkańcy po prostu nie byli w stanie kupić każdego rodzaju biletu, który zamierzali nabyć - przyznawał w Gazecie Olsztyńskiej Michał Koronowski, rzecznik ZDZiT w Olsztynie.
Co ciekawe przez atak cyberprzestępców za darmo jeżdżono w 2016 r. w metrze w San Francisco. Biletomaty właśnie na skutek ich działań zaczęły nagle wyświetlać informację o tym, że pasażerowie mogą podróżować za darmo. W reakcji miasto zdecydowało się faktycznie otworzyć bramki, by nie ulec szantażowi cyberprzestępców, którzy zdjęliby komunikat po tym, jak miasto zapłaciłoby okup.
Darmowej jazdy nie było na początku 2023 r., kiedy to przestał działać System Śląskiej Karty Usług Publicznych. Przyczyną była "zewnętrzna, celowa ingerencja osób trzecich" – jak informowała Górnośląsko -Zagłębiowska metropolia na swojej stronie internetowe. Właściciele takich kart musieli kupować nowe bilety: w innych aplikacjach bądź te papierowe. Sęk w tym, że z tradycyjnymi także był problem, bo w pojazdach nie było odpowiednich kasowników.
Cała awaria wywołała niemały chaos
Mimo że pojazdy kursowały normalnie, to z powodu trudności z zakupem czy skasowaniem biletów podróż odbywała się w niepotrzebnym stresie i zamieszaniu.
Z perspektywy czasu można stwierdzić, że dużo szczęścia miała bydgoska Pesa. 2 kwietnia 2023 r. doszło do „naruszenia bezpieczeństwa systemów informatycznych”. Zdarzenie zostało wykryte we wczesnej fazie i systemy zainstalowane w pojazdach szynowych Pesy nie zostały zagrożone i nie występowało żadne zagrożenie dla podróżujących.
Prawdziwego strachu najedliśmy się, gdy okazało się, że wystarczy wyemitować prosty sygnał, aby zatrzymać pociągi w całym kraju. To dlatego, że najpierw wydawało się, że za incydentami stoją właśnie jakieś grupy cybeprzestępcze.
„Wprowadzenie wszystkich możliwych i aktualnie dostępnych zabezpieczeń IT powinno być traktowane priorytetowo” – apelował dr inż. Ignacy Góra, prezes Urzędu Transportu Kolejowego. Oby branża o tym pamiętała, bo jak widać cyfrowy rozwój kolei może mieć swoje poważne konsekwencje. A gmeranie w oprogramowaniu może zastopować pociągi na długie miesiące.