Od wczoraj ogólnopolskie media opisują skandal związany z pociągami produkowanymi przez sądecki Newag. Z ustaleń hakerów z grupy Dragon Sector zaprezentowanych podczas konferencji „Oh My H@ck” na Stadionie Narodowym w Warszawie wynika, że część z nich była zaprogramowana w ten sposób, aby w konkretnych sytuacjach przestawały działać. Na doniesienia zareagowała giełda – wartość akcji producenta taboru kolejowego z Nowego Sącza spadła dziś o około 7 proc. Właściciel kontrolnego pakietu akcji Newagu twierdzi, że oskarżenia są bezzasadne.
Sprawę nagłośnił Onet opisując serię dziwnych awarii pojazdów produkowanych przez nowosądecką spółkę. „W 2022 r. w kilku miejscach w Polsce stanęły pociągi serii Impuls należące do lokalnych oddziałów PolRegio oraz samorządowych spółek kolejowych (w tym m.in. Kolei Dolnośląskich). Pociągów nie można było ponownie uruchomić po tym, jak przeszły serwis w konkurencyjnych dla Newagu firmach lub np. przejechały 1 mln km. W kilku przypadkach Impulsy stawały też bez przyczyny po dacie 21 listopada. Tych nietypowych awarii było bardzo dużo, co spowodowało, że spółki kolejowe zaczęły podejrzewać, iż mogą mieć do czynienia z sabotowaniem ruchu pociągów.” – czytamy w tekście Onetu.
Hakerzy z grupy Dragon Sector, którzy zlustrowali oprogramowanie sterujące unieruchomionym Impulsem, twierdzą, że znaleźli w nim formuły wymuszające aktywację „usterki” w ściśle określonych okolicznościach – na przykład w lokalizacjach konkurencyjnych wobec Newagu firm serwisujących tabor. Informatycy twierdzą, że maszyny nie „odpalały” dopóty, dopóki nie trafiły do serwisu producenta. Po usunięciu z oprogramowania formuły aktywującej „awarię” okazywało się, że Impulsy są sprawne.
Newag zaprzecza ustaleniom hakerów.
Do tekstu Onetu odniósł się milioner Zbigniew Jakubas, w komentarzu dla Business Insider Polska: „Jedyne, co w tym momencie mogę powiedzieć, to że publikacja Onet jest nierzetelna, wprowadzająca w błąd i narusza nie tylko dobra osobiste Newag i moje, ale stanowi manipulację notowaniami akcji Newag S.A” – stwierdził dodając, że będą pozwy przeciwko wszystkim osobom mającym wpływ na powstanie materiału.
Stanowisko Newagu
Poniżej przytaczamy w całości oświadczenie wydane przez służby prasowe firmy Newag.
– Nasze oprogramowanie jest czyste. Nie wprowadzaliśmy, nie wprowadzamy i nie będziemy wprowadzać w oprogramowanie naszych pociągów żadnych rozwiązań, które prowadzą do celowych awarii. To pomówienie ze strony naszej konkurencji, która prowadzi nielegalną kampanię czarnego PR wobec nas – NEWAG stanowczo dementuje zmanipulowane informacje Onetu i jego rozmówców, czyli przedstawicieli grupy hakerów wynajętych przez konkurencyjną firmę – SPS Mieczkowski. Z tym, że serwis dostarczonych uprzednio zestawów generuje zaledwie ok 5 proc. przychodów NEWAG. Stanowi to ułamek biznesu w przeciwieństwie do firmy „SPS Mieczkowski”, której serwis to podstawowy profil działania.
– Nieprawdą jest, że wywoływaliśmy usterki naszych pociągów, by rzekomo przejąć zlecenia na ich naprawę. To oszczerstwo. Firma serwisująca tabor dla Kolei Dolnośląskich nie potrafiła wywiązać się ze zlecenia serwisu pociągów naszej produkcji i aby uniknąć kar umownych stworzyła tą spiskową teorię na potrzeby mediów. Z Onetu dowiedzieliśmy się, że wynajęła hakerów, którzy dla niej mieli stworzyć raport nas obwiniający – mówi Zbigniew Konieczek, prezes NEWAG S.A.
– Nie znamy tego dokumentu, nie wiemy w jaki sposób powstał, jaka jest przyjęta metodologia, na podstawie czego sformułowano jego bezpodstawne względem NEWAG, tezy. Poza gołosłownymi zarzutami nie przedstawiono żadnego dowodu na to, iż to nasza firma celowo zainstalowała wadliwe oprogramowanie. W naszej ocenie prawda może być zupełnie inna – że np. to konkurencja ingerowała w oprogramowanie. Powiadomiliśmy w tej sprawie właściwe służby. Zresztą nie pierwszy raz powiadamiamy organy ściągania, iż w nasze oprogramowanie modyfikowane jest bez naszej autoryzacji. Już w 2022 informowaliśmy o tym także publicznie. Dziwi więc wystąpienie Janusza Cieszyńskiego byłego ministra cyfryzacji, który mówi o trwających śledztwach, wpisując się przy tym w rozpowszechnianie nieprawdziwych i wysoce szkodliwych informacji na temat NEWAG, a nie dodając, że wszczęto je z naszych zawiadomień – dodaje Konieczek.
Także teraz, w związku z podaną publicznie przez Onet i jego rozmówców informacją, że systemy sterowania pociągów NEWAG zostały zhakowane – w trosce o bezpieczeństwo pasażerów złożyliśmy stosowne zawiadomienia do uprawnionych organów.
Hakowanie systemów informatycznych jest złamaniem wielu przepisów prawa i zagrożeniem dla bezpieczeństwa ruchu kolejowego. Nie wiemy bowiem, kto, jakimi metodami i jakimi kwalifikacjami dysponujący ingerował w oprogramowanie sterujące pociągami. Powiadomiliśmy też o tym Urząd Transportu Kolejowego, aby podjął decyzję o wycofaniu z ruchu zestawów poddanych działaniom nieznanych hakerów. Jednocześnie informujemy, iż podejmiemy kroki prawne w przypadku dalszego pomawiania spółki w oparciu o „rewelacje” hakerów działających na zlecenie naszej konkurencji. Wystąpimy również ze stosownymi pozwami wobec „rzekomych hackerów” i – jak podają media – ich zleceniodawców, czyli firmy „SPS Mieczkowski”.
Poniżej prostujemy manipulacje, nieprawdy podając prawdziwe fakty:
1. Elektryczne zespoły trakcyjne dostarczamy najczęściej z 3-letnią gwarancją.
2. Pojazdy będące w posiadaniu Kolei Dolnośląskich czy Kolei Mazowieckich były poza gwarancją. Pojazdy Kolei Dolnośląskich zostały dostarczone w 2017 r. Od tego czasu przez 6 lat pozostawały pod kontrolą innych niż NEWAG podmiotów.
3. Już w 2022 roku Spółka stwierdziła ingerencję w systemy sterowania pojazdami, dokonaną przez podmioty trzecie, o czym poinformowała w publicznym oświadczeniu prasowym. O powyższym fakcie Spółka powiadomiła również odpowiednie organy i służby, w tym Agencję Bezpieczeństwa Wewnętrznego, Prezesa Urzędu Transportu Kolejowego, Prokuraturę oraz Służbę Kontrwywiadu Wojskowego, jak również zwróciła uwagę użytkownikom Pojazdów na konieczność sprawowania odpowiedniego nadzoru nad eksploatacją i utrzymaniem pojazdów oraz ryzyko związane z dokonywaniem ingerencji w system sterowania pojazdami kolejowymi przez podmiot nieuprawniony.
4. Umowy dostawy w nielicznych przypadkach zobowiązują nas do wykonywania czynności utrzymania pojazdów w okresie gwarancji. Utrzymanie przedmiotowych pojazdów (KD, KM) leżało od dawna w gestii przewoźników i ich kooperantów.
5. W toku utrzymania pojazdów, dostęp fizyczny do nich ma bardzo wiele podmiotów. To na UŻYTKOWNIKU KOŃCOWYM ciąży obowiązek ograniczenia dostępu fizycznego do krytycznych podzespołów/systemów pojazdów.
6. Zabudowane w pojazdach systemy bezpieczeństwa, w tym systemy sterowania, oparte są na sterownikach przemysłowych zapewniających właściwy poziom bezpieczeństwa rozwiązania te jednak nie gwarantowały w przeszłości i również dzisiaj nie gwarantują pełnego fizycznego ograniczenia dostępu do nich. Fizyczna ochrona taboru należy do przewoźników.
7. Producent sterowników systemu w każdym czasie umożliwia i umożliwiał dostęp do oprogramowania sterującego pojazdem.
8. W konsekwencji w dowolnym czasie możliwe było wykonanie tzw. reverse engineering oprogramowania sterującego (tj. zhakowanie) poprzez przeniesienie jego kodu dekompilacji, modyfikacji oraz ponowne załadowanie zmienionego oprogramowania sterującego.
9. Kategorycznie zaprzeczamy i negujemy wgrywanie przez NEWAG jakiejkolwiek funkcjonalności w systemach sterowania pojazdów ograniczającej lub uniemożliwiającej prawidłową eksploatację pojazdów jak również ograniczających krąg podmiotów mogących świadczyć usługi utrzymaniowe lub naprawcze.
10. W tekście portalu onet.pl pojawiły się rażące błędy logiczne i absurdy. Otóż oczywistym jest, iż nawet najlepszy haker może co najwyżej próbować poznać treść określonego zapisu cyfrowego. Żaden haker nie jest natomiast w stanie, na podstawie samego zapisu cyfrowego, wskazać kto konkretnie jest „autorem” określonego zapisu cyfrowego. Z tego względu insynuowanie przez dziennikarzy portalu onet.pl, jakoby rzekomo „ktoś z Newagu” miał coś „wpisać” w oprogramowaniu, stanowi bezprawne pomówienie.
11. Opisywane przez dziennikarzy portalu onet.pl pojazdy, których zhakowanie zlecił Podmiot Konkurencyjny, były przedmiotem drobiazgowych odbiorów przed sprzedażą, od dawna nie są w posiadaniu Spółki, oprogramowanie systemu sterowania jest zainstalowane na fizycznym nośniku zamontowanym w danym Pojeździe i ma charakter „offline” (brak połączenia z siecią), przez co faktycznie niemożliwa jest jakakolwiek ingerencja zdalna ze strony NEWAG.
fot. Newag
