Paulina Matysiak złożyła interpelacje dotyczące niejasności wokół problemów z pociągami Impuls produkowanymi przez Newag SA

środa, 15 stycznia 2025

13 stycznia 2025 roku posłanka Paulina Matysiak złożyła cztery interpelacje dotyczące działania systemów sterowania w pociągach produkowanych przez firmę Newag. Interpelacje zostały skierowane do Ministerstwa Cyfryzacji, Ministerstwa Sprawiedliwości, Ministerstwa Spraw Wewnętrznych i Administracji oraz Ministerstwa Infrastruktury.

Interpelacja skierowana do ministra infrastruktury nosi numer 7393, do ministra spraw wewnętrznych i administracji nosi numer 7394, ministra sprawiedliwości nosi numer 7395, a do ministra cyfryzacji (pełnomocnika rządu ds. cyberbezpieczeństwa) numer 7396. Każdemu ministrowi zadano inne pytania.

Ministerstwo Infrastruktury

1. Czy analogiczne sytuacje (celowe awarie wywoływane na podstawie koordynatów GPS zapisanych w kodzie oprogramowania) występują również w systemach innych producentów taboru kolejowego? Czy tabory kolejowe są sprawdzane pod tym kątem przez końcowych użytkowników przy odbiorze zamówionych taborów od producentów, względnie po przeprowadzonych u nich remontach bądź ich modernizacjach? Jak wygląda szczegółowo wygląda proces sprawdzania bezpieczeństwa przyjmowanych do eksploatacji elementów taboru kolejowego, w szczególności w aspekcie ich oprogramowania? Jak wygląda procedury zapobiegania sabotażom i lub aktom terroryzmu poprzez stosowne zmodyfikowanie wgranego na poziomie produkcji oprogramowania taborowego mogące doprowadzić do katastrofy w ruchu kolejowym? Czy odbierane przez podmioty zamawiające elementy taboru są sprawdzane na okoliczność zaszycia w ich oprogramowaniu na etapie produkcji bądź remontu tzw. backdoorów umożliwiających osobom bądź podmiotom trzecim nieautoryzowany dostęp do oprogramowania elementów taboru? Jaka instytucja w państwie odpowiada za zapewnienie bezpieczeństwa w tym zakresie i identyfikację nieautoryzowanego dostępu do oprogramowania elementów taboru?

2. Jakie kroki zostały podjęte przez przewoźników oraz producenta w celu wyjaśnienia zagrożeń związanych z funkcjonowaniem mechanizmów ograniczających działanie oprogramowania w pociągach firmy Newag oraz zapobiegania podobnym problemom w przyszłości?

3. Czy Ministerstwo Infrastruktury lub jednostki podległe przeprowadziły analizę wpływu funkcji ograniczających działanie oprogramowania pociągów firmy Newag na bezpieczeństwo obywateli oraz funkcjonowanie infrastruktury krytycznej?

4. Czy w ramach działań Ministerstwa lub podległych jednostek (np. Urzędu Transportu Kolejowego, Agencja Bezpieczeństwa Wewnętrznego) badano podobne zagrożenia dla taboru kolejowego innych producentów, w tym również zagranicznych? Jak wygląda certyfikacja producentów taboru chcących oferować swoje produkty na rynku polskim? Czy zamawiający i/lub użytkownicy tego typu sprzętu mają możliwość przeglądu i ewentualnej modyfikacji oprogramowania tego typu, celem zapewnienia bezpieczeństwa funkcjonowaniu składów kolejowych w Polsce?

5. Jakie działania podjęto w celu zapewnienia, że analogiczne incydenty nie będą miały miejsca w przyszłości? Jaka państwowa instytucja jest odpowiedzialna za nadzór i zapewnienie bezpieczeństwa na poziomie oprogramowania składów kolejowych jeżdżących po Polsce? 6. Czy składy kolejowe zagranicznych przewoźników kolejowych dopuszczone przez UTK do świadczenia usług w Polsce podlegają jakiejkolwiek kontroli przed modyfikacją bądź przejęciem ich oprogramowania celem dokonania sabotażu bądź aktu terroryzmu?

7. Czy Ministerstwo zebrało dane o szacunkowych stratach finansowych poniesionych przez przewoźników oraz Skarb Państwa w związku z awariami pociągów wynikającymi z celowych zapisów w kodzie ich oprogramowania? Jeśli tak, jakie są wyniki tej analizy? Proszę o przekazanie w tym zakresie całości wytworzonych i/lub zebranych materiałów i dokumentów, w tym również treści takowych materiałów i/lub dokumentów dotyczących tej sprawy znajdujących się w systemie EZD, bądź w innym analogicznym systemie elektronicznego obiegu i zarządzania dokumentacją.

​​​​​​​8. Czy Ministerstwo Infrastruktury współpracuje z innymi organami państwowymi (np. Ministerstwem Cyfryzacji, Ministerstwo Spraw Wewnętrznych i Administracji) w celu poprawy cyberbezpieczeństwa w transporcie kolejowym? Jeśli tak, to jakie są konkretne działania podejmowane w tym zakresie na przestrzeni ostatniego roku? Jaka jednostka ministerialna, bądź Ministerstwu podległa jest za to odpowiedzialna? Czy funkcjonujące w Polsce składy i tabory kolejowe, które zostały dopuszczone do ruchu przez UTK przechodzą cyklicznie kontrole i są certyfikowane pod kątem bezpieczeństwa ich oprogramowania? Jeśli tak, jak często się to odbywa, i jaka instytucja państwa odpowiada za ten proces oraz jak szczegółowo wygląda jego procedura?

Ministerstwo Spraw Wewnętrznych i Administracji

1. Czy Agencja Bezpieczeństwa Wewnętrznego prowadzi czynności dochodzeniowo-śledcze w związku z funkcjonowaniem mechanizmów ograniczających działanie oprogramowania pociągów firmy Newag?

2. Czy analizowano potencjalne zagrożenie dla bezpieczeństwa narodowego wynikające z obecności mechanizmów ograniczających funkcjonalność w systemach sterowania pociągów, w szczególności w kontekście infrastruktury krytycznej i bezpieczeństwa ludności?

3. Czy w toku analizy ustalono, czy analogiczne zagrożenia (celowe awarie wywoływane na podstawie koordynatów GPS zapisanych w kodzie oprogramowania) występują w systemach innych producentów taboru kolejowego, w tym zagranicznych producentów taboru kolejowego oferujących swoje produkty na rynku polskim?

4. Czy wykluczono hipotezę, że celowe zapisy w kodzie oprogramowania pociągów mogły być wynikiem działań podmiotów zagranicznych, np. w ramach ataku cybernetycznego, aktu terrorystycznego, bądź sabotażu na infrastrukturę krytyczną Polski?

5. Jakie działania MSWiA podejmuje we współpracy z innymi instytucjami (np. Ministerstwem Infrastruktury, Ministerstwem Cyfryzacji, Agencją Bezpieczeństwa Wewnętrznego) w celu koordynacji odpowiedzi na zagrożenia wynikające z wykrycia mechanizmów celowo powodujących awarie w systemach sterowania pociągów?

6. Czy wykrycie tego typu celowych modyfikacji w oprogramowaniu taboru na poziomie produkcji, nie obniża renomy i wizerunku polskiego sektora producentów taborów szynowych na rynkach zagranicznych i nie odbije się negatywnie wśród potencjalnych zagranicznych nabywców polskich wagonów, lokomotyw i EZT w przyszłości? Jakie działania mitygujące w tej sprawie podjęło Ministerstwo, aby polski przemysł taboru szynowego nie stracił swoich zagranicznych odbiorców? Czy Ministerstwo współpracuje w tym zakresie z innymi instytucjami państwowymi bądź podmiotami prywatnymi (np. PAIH)?

Ministerstwo Sprawiedliwości

1. Śledztwo Prokuratury Regionalnej w Krakowie o sygnaturze 2004-1.Ds.8.2023 prowadzone jest w sprawie awarii pociągów firmy Newag pod kątem art. 269 § 1 k.k., art. 286 § 1 k.k. i art. 287 § 1 k.k. Czy rozważano rozszerzenie kwalifikacji prawnej o art. 165 § 1 pkt 4 k.k. (sprowadzenie niebezpieczeństwa dla życia lub zdrowia wielu osób w związku z zakłóceniem funkcjonowania systemu teleinformatycznego)?

2. Czy powołano niezależnych biegłych do oceny materiału dowodowego, w tym technicznej analizy mechanizmów celowo wywołujących awarię w systemach sterowania pociągów?

3. Czy śledztwo obejmuje ustalenie etapu cyklu produkcji i życia oprogramowania, na którym możliwe było zapisanie kodu celowo wywołującego awarię w systemach sterowania pociągów?

4. Czy w toku śledztwa zidentyfikowano podmioty odpowiedzialne za wprowadzenie mechanizmów ograniczających działanie oprogramowania? Czy rozważane są hipotezy dotyczące ich wykorzystania przez podmioty zagraniczne w działaniach wymierzonych w infrastrukturę krytyczną Polski?

Ministerstwo Cyfryzacji

1. Jakie działania podjęto w zakresie cyberbezpieczeństwa, aby wyjaśnić awarie pociągów firmy Newag i zapobiec podobnym incydentom w przyszłości?

2. Jakie mechanizmy nadzoru i kontroli cyberbezpieczeństwa są stosowane wobec oprogramowania i urządzeń dostarczanych przez producentów taboru kolejowego? Czy wyniku awarii pociągów firmy Newag są przewidywane zmiany regulacyjne w tym zakresie?

3. Czy Ministerstwo Cyfryzacji współpracuje z innymi organami państwowymi (np. MSWiA, UOKiK, UTK) w tej sprawie?

4. Jakie wnioski wynikają z analizy tej sprawy w kontekście cyberbezpieczeństwa infrastruktury krytycznej? Jakie działania podjęto w odpowiedzi na te wnioski?

Źródła

edytuj
  • Paulina Matysiak – Interpelacja nr 7393 – Sejm Rzeczypospolitej Polskiej X kadencji, 15 stycznia 2025
  • Paulina Matysiak – Interpelacja nr 7394 – Sejm Rzeczypospolitej Polskiej X kadencji, 15 stycznia 2025
  • Paulina Matysiak – Interpelacja nr 7395 – Sejm Rzeczypospolitej Polskiej X kadencji, 15 stycznia 2025
  • Paulina Matysiak – Interpelacja nr 7396 – Sejm Rzeczypospolitej Polskiej X kadencji, 15 stycznia 2025