Spółka Newag opublikowała Białą Księgę dotyczącą publicznie ujawnionego faktu zhakowania systemów sterowania pasażerskimi pojazdami kolejowymi oraz jego konsekwencji dla bezpieczeństwa polskiej kolei.
Producent po raz kolejny odniósł się do rozpowszechnianych publicznie nieprawdziwych oraz wprowadzających w błąd informacji. Spółka przedstawiła kilka istotnych faktów.
Bezpieczeństwo, w tym cyberbezpieczeństwo
W ocenie Newagu nieprawdziwe są twierdzenia, jakoby w branży kolejowej wprowadzono przepisy, polskie lub unijne, które gwarantowałyby przewoźnikom prawo naprawy pojazdów przez „zewnętrzne firmy”.
Tego rodzaju regulacje wprowadzono na rynku samochodowym. Natomiast na rynku kolejowym możliwość powierzania usług utrzymania pojazdów innym podmiotom niż producent uzależniona jest od zapewnienia sobie przez przewoźnika odpowiedniej dokumentacji i oprogramowania wraz z licencją oraz ewentualnym prawem do sublicencji, ewentualnie uzyskanie takiej licencji samodzielnie przez podmiot utrzymujący – napisał Newag.
Nowosądecka spółka dodała, że na gruncie polskiego i unijnego prawa dekompilacja oprogramowania (tzw. „reverse engineering”) jest dozwolona pod wieloma szczegółowymi warunkami, które w przypadku hakerów i SPS Mieczkowski nie zostały spełnione.
Podstawowym warunkiem legalnej dekompilacji jest to, że może jej dokonać wyłącznie uprawniony posiadacz oprogramowania. W niniejszym przypadku ani hakerzy, ani ich zleceniodawca – SPS Mieczkowski ani jego klient Koleje Dolnośląskie, nie byli uprawnionymi posiadaczami oprogramowania systemu sterowania, co wyklucza zgodność z prawem jakiejkolwiek dekompilacji, tym bardziej dekompilacji z użyciem stworzonego przez hakerów „narzędzia” – zaznaczył Newag.
Producent przeczy także pojawiającej się w domenie publicznej tezie, jakoby można było wykonywać przeglądy pojazdów kolejowych wyższych kategorii na podstawie samego DSU (Dokumentacji Systemu Utrzymania) (instrukcji).
Oprócz DSU do prawidłowego wykonania usługi utrzymania od poziomu P3 potrzebna jest jeszcze odpowiednia dokumentacja techniczna, oprogramowanie oraz infrastruktura – zaznacza Newag.
Spółka sądzi, że ingerując w systemy sterowania, hakerzy wiedzieli, że dopuszczają się naruszeń majątkowych praw autorskich Grupy NEWAG ze względu na wyświetlane przez system komunikaty.
Producent przedstawił też wiele uwag w kierunku SPS Mieczkowski. Newag uważa, że zakład nie tylko odpowiada za niszczenie i hakowanie systemów sterowania pociągów, ale w przeszłości wielokrotnie dopuszczał się innych rażących nieprawidłowości w zakresie utrzymania pojazdów, które tworzyły zagrożenie dla pasażerów.
Oświadczenie spółki
Newag po raz kolejny oświadczył, że oprogramowanie stosowane przez spółkę jest i zawsze było wolne od jakichkolwiek rozwiązań służących tzw. „postarzaniu produktu”, stosowanych powszechnie na rynku konsumenckim przez producentów urządzeń elektronicznych.
Jesteśmy producentem pojazdów kolejowych, a nie pralek, lodówek czy telefonów. W razie uszkodzenia pojazdu kolejowego użytkownik nie kupuje sobie nowego, tak jak to się zazwyczaj dzieje w przypadku pralki czy lodówki – podkreśla spółka.
Newag za oczywisty absurd i kłamstwo uważa zarzut rzekomego powodowania usterek w pojazdach.
Swój profil działalności opieramy na produkcji i sprzedaży nowych pojazdów. Z tego względu bardzo zależy nam na jak najwyższej niezawodności – podkreśla spółka.
Chronologia Wydarzeń
Newag przedstawił także chronologię wydarzeń, zaczynając od dostarczenia Kolejom Dolnośląskim 11 pojazdów Impuls.
Koleje Dolnośląskie nigdy nie uzyskały oprogramowania systemu sterowania oraz licencji na korzystanie z oprogramowania systemu sterowania pojazdami Impuls dostarczonymi w 2017 roku, w szczególności nigdy nie uzyskały licencji umożliwiającej udzielenie sublicencji podmiotowi trzeciemu w celach utrzymaniowych – podkreślił producent.
Spółka przypomniała, że w 2021 r. przewoźnik powierzył SPS Mieczkowski wykonanie usługi utrzymania pojazdów na poziomie 3.2. Newag poinformował, że Zakład z Inowrocławia dopiero w kwietniu 2022 r., czyli już po upływie terminu na wykonanie zamówienia, zażądał od Kolei Dolnośląskich wydania oprogramowania, którego przewoźnik nie zakupił wraz z pojazdami. Newag dodaje, że SPS Mieczkowski nigdy nie uzyskał, a nawet nigdy nie zwrócił się do Grupy Newag o udzielenie licencji na korzystanie z oprogramowania systemu sterowania pojazdów Impuls.
W czerwcu 2022 r. Newag zawiadomił organy ścigania o uzasadnionym podejrzeniu popełnienia przestępstwa polegającego na bezprawnej ingerencji w rejestrator pociągu – to była pierwsza wskazówka nielegalnej ingerencji w systemy pociągu.
Według informacji Newaga, UOKiK w 2022 r. odmówił wszczęcia postępowania antymonopolowego wobec producenta, stwierdzając, że zgłoszone przez SPS Mieczkowski zarzuty rzekomych nieprawidłowości z prowadzonej działalności mają charakter cywilnoprawny i wynikają z braku zapewnienia sobie przez Koleje Dolnośląskie odpowiedniego dostępu do systemu sterowania.
W kwietniu 2023 r. Newag zawiadomił o ingerencji w system sterowania Agencję Bezpieczeństwa Wewnętrznego oraz Służbę Kontrwywiadu Wojskowego.
ABW na skutek tego zawiadomienia złożyło w październiku 2023 r. do Prokuratury Okręgowej w Nowym Sączu zawiadomienie o uzasadnionym podejrzeniu popełnienia przestępstwa.
11 grudnia 2023 r. Newag po raz kolejny zawiadomił ABW i SKW o uzasadnionym podejrzeniu popełnienia przestępstwa.
Zachęcamy do zapoznania się Białą księgą przygotowaną przez spółkę Newag.
Kontrowersje po konferencji Oh My H@ck
Przypomnijmy, 5 grudnia strona zaufanatrzeciastrona.pl przedstawiła streszczenie prezentacji wygłoszonej na konferencji przez trzech członków Grupy Dragon Sector. Z artykułu dowiadujemy się m.in., że po miesiącach analiz i setkach godzin spędzonych nad kodem udało się zidentyfikować bardzo ciekawe mechanizmy powodujące nagłe choroby pociągów.
Następnego dnia, 6 grudnia 2023 r. spółka Newag w specjalnym oświadczeniu odpowiedziała na zarzuty dotyczące oprogramowania stosowanego w pojazdach nowosądeckiego producenta.
W wyjaśnienie tej bulwersującej sprawy włączyli się także posłowie. Posłanka Paulina Matysiak wraz z posłem Adrianem Zandbergiem złożyli zawiadamianie do UOKiK.
To nie powinno mieć miejsca. Chcemy, żeby polscy pasażerowie usłyszeli, czy mogą się czuć w polskich kolejach polskich pociągach bezpiecznie – oświadczyła Matysiak podczas specjalnej konferencji.
Poseł Adrian Zandberg podkreślił, że sprawa wymaga natychmiastowego wyjaśnienia przez UOKiK.
Dziś już wiemy, że Prezes UOKiK Tomasz Chróstny, działając na wniosek parlamentarzystów, wszczął postępowanie wyjaśniające w tej głośnej sprawie.
Urząd ma wyjaśnić czy w związku z działalnością Newagu i innych podmiotów z branży taboru kolejowego doszło do naruszenia prawa konkurencji, uzasadniającego dalsze kroki prawne.
