EU version

Polské vlaky zablokovány záhadným systémem, pomohli až hackeři!

Polské vlaky zablokovány záhadným systémem, pomohli až hackeři!
foto: wikimedia commons, public domain, CC BY-SA 3.0/Newag Impuls
21 / 05 / 2024

Po generální opravě se polské vlaky Newag Impuls zastavily a výrobce odmítl pomoc. Situaci musela řešit hackerská skupina, která odhalila tajný bezpečnostní systém. Newag však tvrdí, že jde o konspiraci. Rozhořela se právní bitva. Tento skandál ukazuje na naléhavost řešení problémů v oblasti kyberbezpečnosti.

Pro připomenutí špetka z nedávné minulosti, která je důležitá pro pochopení celého kontextu. Na jaře 2022 skončil provoz prvního z jedenácti vlaků Newag Impuls a provozovatel - regionální Dolnoslezské zemské dráhy - vyhlásil výběrové řízení na provedení generální opravy povinné po ujetí 1 miliónu kilometrů. Společnost Serwis Pojazdów Szynowych (SPS Mieczkowski Bydgoszcz) v něm zvítězila nad samotným výrobcem vlaků firmou Newag, která předložila vyšší nabídku.

SPS provedla opravu podle manuálu (o rozsahu asi 20 000 stran), který poskytl Newag. Překvapivé ale bylo, že vlak se ovšem po generální opravě nerozjel, ačkoliv všechny přístroje hlásily, že je vše v pořádku. Mezitím podle smluvního harmonogramu začala SPS pracovat na opravě druhého z celkového počtu jedenácti vlaků a výsledek byl stejný. Vlak se nerozjel a výrobce Newag odmítl pomoci. 

V dílnách tedy stojí dva vlaky. Třetí zmešká prohlídku kvůli poruše baterie, a tak je místo něj do servisu vyslán čtvrtý vlak. SPS jej chce využít nejprve na odtažení jednoho z těch, které zabírají v dílně místo. Když je čtvrtý (jedoucí) vlak připojen k jednomu z těch stojících, zastaví se i ten jedoucí. V další dílně ve Štětíně se za velmi podobných okolností zastaví a nejde rozjet další Impuls.

Více než polovina souprav mimo provoz znamená totiž pro Dolnoslezskou dráhu změnit jízdní řád a obstarat náhradní vlaky. Newag nicméně sdělil, že vlaky jsou zablokovány "bezpečnostním systémem", jenomže o něm ale ve 20 000 stranách výrobní dokumentace nebylo není ani slovo. Protože odstávka vlaků znamenala pro SPS několik tisíc PLN smluvní pokuty denně, obrátila se na hackerskou skupinu Dragon Sector a podepsala s nimi smlouvu. 

Hackerům se podařilo zprovoznit první vlak těsně před možností, kdy podle smlouvy mohly Dolnoslezské dráhy vypovědět s SPS smlouvu. Pak několik měsíců zkoumali, proč se vůbec vlaky zastavovaly.  Podařilo se jim najít číselné kódy, které určovaly souřadnice GPS přiřazené k železničním stanicím železničních výrobců a servisů, které mohly v Polsku provádět opravy a údržbu vlaků. A servisy byl podle všeho rozdělené do dvou skupin: ohlásil-li kód komunikující GPS přítomnost vlaku více než 10 dnů v „nežádoucím servisu“, vlak se zcela znehybnil. Hackeři údajně objevili i další softwarové instalace, které měly vlak zastavit, kdyby byl neautorizovaně vyměněn jakýkoliv systémový díl. Další funkcionality měla vlak zastavit automaticky po ujetí 1 miliónu kilometrů.

Redakce RT pak zjistila zajímavý fakt.  Po medializaci případu se s podobnými zkušenostmi ohlásili i další uživatelé produktů Newag, většinou regionální železniční společnosti. A následně došlo i k vyostření mezi oběma firmami.  SPS a Newag na sebe vzájemně podaly žaloby, které nebude snadné vyřešit.

SPS viní Newag z toho, že do softwaru záměrně ukládal místa, data a situace, kdy se vlaky neměly rozjet. Newag zjištění hackerů popírá, naopak ve své žalobě tvrdí, že hackeři prováděli na objednávku neoprávněné zásahy a porušili také firemní autorská práva.

Servisní firma SPS prý nebyla schopna provést opravy, a proto s pomocí hackerů vytvořila konspirační teorii o zásazích výrobce do vozidla. Podle Newagu to byly právě zásahy třetích stran do softwaru, které problémy způsobily. Newag, který jinak v Polsku vystupuje jako zastánce zkvalitňování bezpečnostních standardů a lídr kybernetické bezpečnosti na železnici je toho názoru, že podobné zásahy dopravců do vozidel jsou nemyslitelné, ani v jiných dopravních oborech, například jakékoliv zásahy do avioniky v letectví.

Podle poznatků a hodnocení Newag se uživatelé železničních vozidel v Polsku řídí především nebo výhradně cenou a v důsledku tohoto přístupu svěřují stále častěji údržbu železničních vozidel subjektům, které nemají odpovídající kompetence a know-how. Politika, která je v západoevropských zemích nemyslitelná, může jednoho dne vést k lidské tragédii v podobě železničního neštěstí.

Ozval se také výjimečně polský miliardář Zbygniew Jakubas, vlastník Newagu, který jinak na veřejnosti vystupuje minimálně.  Pro Bussines Insider řekl, že samotný způsob zveřejnění poškozuje společnost kotovanou na burze a má manipulativní efekt s kursem akcií. Měly by se jím zabývat všechny odpovědné orgány státu, včetně zpravodajských služeb. Případ se řešil v období parlamentních voleb v Polsku na sklonku roku 2023.

Jednal o něm polský Sejm a dlouho nebylo jasné, zda se má případem zabývat Drážní úřad UTK, případně Ministerstvo infrastruktury (a dopravy) nebo Ministerstvo digitalizace. Zabývá se jím také Ústřední antikorupční úřad (CBA). Newag se v předvolebním období v Polsku dostal na výsluní v souvislosti s návštěvami tehdejšího premiéra Morawieckého a podpisem memoranda o spolupráci s korejským Hyundai Rotem při vývoji a výrobě vysokorychlostních vlaků. Celý případ může proto získat i další, obchodní dimenzi. Polská státní společnost pro přípravu vysokorychlostních tratí CPK předpokládá pro Polsko provozní uplatnění až pro 120  souprav vlaků.

Další rovinou je bitva o reálnou liberalizaci přístupu k servisním službám, který se otevřel postupně formovaným výkladem předpisů Evropské železniční agentury ERA.

Co je však nejdůležitější. Ať již zavinil tento případ kdokoliv, železniční odvětví se nevyhne důkladné diskusi o konkrétních parametrech kybernetické bezpečnosti. Bude odpovědnost za koncový produkt, ale i za celý dodavatelský řetězec výhradně na dodavateli železničních lokomotiv, osobních vagónů a do budoucna i díky spřáhlu DAC digitalizovaných nákladních železničních vagónů? Jaký charakter budou mít servisní a modernizační ujednání s dopravci, resp. s držiteli vozidel. Kdo a na základě jakých oprávnění vlastně bude moci do řídících a informačních systémů v železniční dopravě zasahovat?

V ČR se tato diskuse odehraje na pozadí projednávání návrhu nového zákona o kybernetické bezpečnosti, který do naší legislativy převede evropskou Směrnici NIS2 (Network and Information System), která rozšíří povinné standardy kybernetické bezpečnosti na provozovatele celostátní nebo regionální dráhy nebo veřejně přístupné vlečky a také na dopravce provozující na těchto drahách dopravu.

Zdroj: Redakce RT; Business Insider; 

 

Tagy