6 godzin temu
Posłanka Paulina Matysiak skierowała do Ministerstwa Infrastruktury interpelację dotyczącą potencjalnych zagrożeń w systemach sterowania pociągów firmy Newag. Parlamentarzystka domaga się wyjaśnień w sprawie mechanizmów wykrytych przez ekspertów cyberbezpieczeństwa i zwraca uwagę na kwestie bezpieczeństwa systemu w taborze również innych producentów.
Interpelacja o cyberbezpieczeństwie
Interpelacja posłanki Matysiak powstała w reakcji na analizy techniczne wykonane przez ekspertów ds. cyberbezpieczeństwa z grupy Dragon Sector. Badania grupy wykazały obecność funkcji w kodzie oprogramowania, które ograniczały działanie systemów sterowania w pociągach eksploatowanych przez polskich przewoźników na podstawie odczytu koordynatów GPS. Sprawa była przedmiotem kilku posiedzeń Parlamentarnego Zespołu ds. Walki z Wykluczeniem Transportowym, któremu przewodniczy parlamentarzystka, oraz odbiła się szerokim echem w mediach.
Posłanka zwróciła uwagę na szczególne znaczenie kwestii cyberbezpieczeństwa w kontekście obecnej sytuacji geopolitycznej Polski. Jak podkreśliła, infrastruktura kolejowa stanowi element infrastruktury krytycznej państwa, dlatego wszelkie potencjalne podatności wymagają gruntownego wyjaśnienia.
Szeroki katalog pytań do rządu
W swojej interpelacji parlamentarzystka zadała szereg szczegółowych pytań dotyczących bezpieczeństwa taboru kolejowego. Dopytywała między innymi, czy podobne sytuacje występują u innych producentów, jak wygląda proces sprawdzania bezpieczeństwa przyjmowanych do eksploatacji elementów taboru oraz jakie procedury zapobiegają potencjalnym zagrożeniom.
Posłanka Matysiak zapytała również o to, czy odbierane elementy taboru są sprawdzane pod kątem możliwości nieautoryzowanego dostępu do oprogramowania, która instytucja odpowiada za zapewnienie bezpieczeństwa w tym zakresie oraz jakie działania podjęto, aby podobne incydenty nie miały miejsca w przyszłości.
Ministerstwo powołuje się na śledztwo
Odpowiedź Ministerstwa Infrastruktury, podpisana przez podsekretarza stanu Piotra Malepszaka, ma w dużej mierze wymijający charakter. Resort powołuje się na toczące się postępowanie prokuratorskie prowadzone przez Prokuraturę Regionalną w Krakowie.
Ministerstwo tłumaczy, iż ze względu na śledztwo i poufny charakter sprawy wstrzymuje się od udzielenia odpowiedzi na pytania zawarte w interpelacji. Jednocześnie podkreśla, iż okoliczności sprawy nie dają możliwości przedstawienia stanowiska przed rozstrzygnięciem przez organy ścigania.
Ujawnione luki w systemie kontroli
Mimo powołania się na toczące się śledztwo, ministerstwo przedstawiło szereg informacji dotyczących systemu kontroli systemu pojazdów kolejowych. Z odpowiedzi wynika, iż zamawiający podczas odbiorów technicznych weryfikują funkcje i osiągi systemów, ale nie mają dostępu do kodu źródłowego oprogramowania.
Resort wyjaśnia, iż oprogramowanie producentów stanowi ich własność intelektualną i nie jest powszechnie udostępniane. W efekcie zamawiający nie mają możliwości sprawdzenia, czy oprogramowanie nie zawiera dodatkowych funkcji niezwiązanych bezpośrednio z jego przeznaczeniem.
Problem dodatkowo pogłębił brak szczegółowych przepisów dotyczących dokumentacji przetargowej w zakresie licencji na oprogramowanie dla postępowań ogłoszonych do 2020 roku.
Działania naprawcze po kontrolach UTK
Ministerstwo poinformowało o wynikach kontroli przeprowadzonych przez Urząd Transportu Kolejowego u przewoźników eksploatujących pociągi Impuls oraz w firmie Newag. Kontrole ujawniły braki w procesie zarządzania konfiguracją pojazdów kolejowych oraz brak informacji o aktualnych wersjach oprogramowania.
W odpowiedzi na stwierdzone nieprawidłowości kontrolowane podmioty podjęły działania pokontrolne. Zaktualizowały procedury wewnętrzne, dokonały weryfikacji systemu oraz uregulowały zasady gromadzenia informacji o oprogramowaniach i zmianach w systemach sterujących.
Nowe standardy dla przyszłych zamówień
Ministerstwo podkreśla, iż w tej chwili większość przewoźników ma wpływ na kształtowanie wymagań dotyczących weryfikacji systemu przy dostawie nowych pojazdów. W postępowaniach ogłoszonych w 2024 roku wprowadzono precyzyjne postanowienia odnoszące się do odbioru systemu pod kątem technicznym i funkcjonalnym.
Interpelacja posłanki Matysiak zwróciła uwagę na istotne luki w systemie nadzoru nad oprogramowaniem taboru kolejowego i może przyczynić się do wypracowania bardziej szczelnych procedur kontroli w tym obszarze infrastruktury krytycznej państwa.
