Temat cyberbezpieczeństwa na kolei do zeszłego roku praktycznie nie istniał. Sytuację zmieniły dopiero wydarzenia z II połowy 2023 roku, gdy zrobiło się głośno o systemie Radio-Stop i po opublikowaniu przez ekspertów z Dragon Sector informacji o znaleziskach w kodzie pociągów produkowanych przez nowosądecki Newag.
Gdy kilka tygodni po rosyjskiej inwazji na Ukrainę doszło do paraliżu kilkunastu Lokalnych Centrów Sterowania na sieci PKP Polskich Linii Kolejowych, kwestie cyberbezpieczeństwa zaczęły się pojawiać w przestrzeni publicznej również w kontekście kolejowym. Początkowo pojawiły się podejrzenia, że Rosjanie dokonali ataku hakerskiego - jednak firma Alstom, która dostarczyła urządzenia do LCS dotkniętych awarią, jako przyczynę podała błąd w formatowaniu czasu. Nie wygasiło to jednak tematu do końca.
Czytaj też
Radio-Stop, czyli tajemnica poliszynela
Cyberbezpieczeństwo zagościło „na stałe” w kontekście kolejowym dopiero rok później, w piątek 25 sierpnia 2023. Gdy w mediach pojawiły się doniesienia o nieuprawnionym uruchomieniu sygnału Radio-Stop wybuchła afera. Przez następne kilka dni media informowały o kolejnych miejscach wstrzymania ruchu pociągów z powodu uruchomienia sygnału, mówiąc o „włamaniach” i „hakerach”.
Trzeba jednak przypomnieć, że cały szum medialny powstał z jednego powodu: nadawaniu sygnału Radio-Stop 25 sierpnia 2023 roku towarzyszył hymn Federacji Rosyjskiej. Tylko z tego powodu media zainteresowały się podstawowym problemem związanym ze wspomnianym sygnałem – według statystyk Urzędu Transportu Kolejowego, w latach 2012-2022 odnotowano 5 tys. przypadków nieuprawnionego nadania Radio-Stopu. Rodzi to wniosek: do wytworzenia paniki wystarczy odtworzenie konkretnego utworu w odpowiedniej sytuacji.
‼️ Problem z użyciem radiostop kolej zna od dawna. W ciągu ostatnich 8 lat średniorocznie było to 567 przypadków. W 2022 r. było ich "tylko" 482. Rozumiem, że mamy sytuację zagrożenia i sygnały o aktywności rosyjskiej, ale to nie jest zagrożenie życia pasażerów.
— Lukasz Malinowski (@Lukasz_Malin) August 30, 2023
Dane: @UTKgovpl pic.twitter.com/ahvdMgGKJl
Nie ma mowy o „hakowaniu” czy „włamaniu” na częstotliwości kolejowe, tak samo jak w przypadku częstotliwości przydzielonych rozgłośniom radiowym - w tym drugim przypadku mówi się „jedynie” o piratach radiowych czy zagłuszaniu. Od samego początku eksploatacji radiotelefonów na polskiej sieci kolejowej, czyli od lat 80., radiołączność na kolei jest prowadzona analogowo, a nie cyfrowo.
Do nasłuchu rozmów między kolejarzami wystarczy urządzenie kosztujące ok. 100-150 zł; częstotliwości można z kolei znaleźć w kilka sekund poprzez wyszukanie odpowiedniej frazy. Nagranie samego sygnału również nie jest trudne do znalezienia w internecie. W takich okolicznościach, nazwanie nadawania Radio-Stopu dla żartu „hakowaniem” czyni z faktycznego hakowania coś niewyobrażalnego, nieprawdopodobnego do osiągnięcia.
Czytaj też
Zmiana krwią pisana
Sam Radio-Stop, jak i pośrednio radiotelefony (ponieważ istniały one nieco wcześniej) zostały wprowadzone w wyniku trzech katastrof kolejowych z przełomu lat 70. i 80. - pod Wrocławiem z 9 lipca 1977 roku (11 ofiar), pod Otłoczynem z 19 sierpnia 1980 roku (67 ofiar; największa pod tym względem w historii polskiej kolei) oraz pod Osieckiem z 4 czerwca 1981 roku (25 ofiar). Niewykluczone, że pozwoliłby on uniknąć innych wypadków, jak np. w Blachowni z 19 grudnia 1979 roku (1 ofiara). O ile jednak pierwsze urządzenia były już obecne na lokomotywach i zespołach trakcyjnych w I połowie lat 80., tak sam sygnał, oficjalnie nazwany Alarm, wdrożono dopiero w 1987 roku.
Uruchomienie Radio-Stopu, czyli sygnału dźwiękowego w postaci trzech tonów o różnej częstotliwości, powoduje automatyczne zatrzymanie każdego pociągu znajdującego się w zasięgu pojazdu nadającego, jeżeli radiotelefon odbiorczy był połączony z systemem Samoczynnego Hamowania Pociągu (SHP). Jeżeli ten drugi warunek nie jest spełniony, maszynista jest zobowiązany do natychmiastowego zatrzymania składu. Zasada ta obowiązuje również w przypadku pięciokrotnego wypowiedzenia słowa „Alarm” przez nadawcę.
Czytaj też
Podatność znana od początku
Już po dwóch latach od uruchomienia systemu zwracano uwagę na jego podatność pod kątem niewłaściwego stosowania. Włodzimierz Gałecki w nr 11 czasopisma „Sygnały” z 1989 roku wskazywał, że Radio-Stop – wtedy zwany Stop-Alarm – może paść ofiarą kolejarzy -dowcipnisów, co w konsekwencji miało doprowadzić do ignorowania sygnału przez niektórych maszynistów. Istniały również obawy co do rozrywania składów podczas nagłego hamowania, do czego jednak nie dochodziło.
Mało kto się wówczas spodziewał, że Radio-Stop padnie ofiarą „żartownisiów” niebędących kolejarzami. Z drugiej strony istnieją przypuszczenia, że niektóre przypadki użycia Radio-Stopu mogą nie być spowodowane żartami, tylko błędami kolejarzy w lokomotywowniach.
W całej sytuacji nie można jednak zapomnieć, że pomimo analogowego systemu, Radio-Stop nie jest przestarzały i spełnia swoją rolę ratowania życia kolejarzy oraz pasażerów pociągów w Polsce. Najgłośniejszymi przypadkami jego prawidłowego zastosowania są incydent pod Złocieńcem z 30 lipca 2019 roku oraz incydent pod Koszalinem z 19 sierpnia 2022 roku – w obu przypadkach na jednym torze znalazły się dwa pociągi, które zatrzymały się w pewnej odległości od siebie.
Sama afera związana z Radio-Stopem wygasła po zapowiedzi ówczesnego prezesa PKP PLK Ireneusza Merchela z 30 sierpnia, która dotyczyła przyspieszenia cyfryzacji komunikacji radiowej na sieci narodowego zarządcy sieci kolejowych. Nie oznacza to jednak, że wraz z deklaracją problem został rozwiązany.
Jak podał Rynek Kolejowy w lutym, w 2023 roku nieuprawnione nadanie sygnału miało miejsce 775 razy. Przypadki z końca sierpnia są zatem bardzo minimalnym odsetkiem, który media opisały; a w skali lat 2012-2023 są wręcz promilem.
Blokady w pociągach Newagu
Drugą głośną sprawą w zakresie cyberbezpieczeństwa na kolei są oczywiście tajemnicze blokady, które znaleźli w pociągach Newagu specjaliści z Dragon Sector. W kontekście wspomnianego „hakowania” Radio-Stopu, zhakowanie przez nich pociągów wyprodukowanych przez Newag było faktycznie czymś dotąd niewyobrażalnym. Po dwóch miesiącach od publikacji ich ustaleń prokuratura prowadzi postępowanie, a na światło dzienne wychodzi coraz więcej szczegółów.
Podczas styczniowego posiedzenia Parlamentarnego Zespołu ds. Walki z Wykluczeniem Transportowym członkowie Dragon Sector podali, że zidentyfikowali obecność warunków definiujących blokadę danego zespołu trakcyjnego w 24 z 30 zbadanych jednostkach trakcyjnych. Na liście pojazdów pojawił się również pociąg Impuls Kolei Mazowieckich, jednak z adnotacją o braku szczegółów.
Na kontynuację tego konkretnego wątku nie trzeba było długo czekać – szczegółów dostarczyła odpowiedź marszałka woj. mazowieckiego Adama Struzika na interpelację radnego Sejmiku Województwa Mazowieckiego Ludwika Rakowskiego. Potwierdziły się przypuszczenia, że Impulsy blokowały się podczas naprawy w należącym do Pesy Bydgoszcz ZNTK Mińsk Mazowiecki, a także po przekroczeniu miliona kilometrów przebiegu.
Czytaj też
Wyłączanie podczas jazdy
Znacznie bardziej niepokojąca była jednak informacja o wyłączaniu się pociągów podczas przejazdu przez stację Mińsk Mazowiecki – fragment tej stacji znajduje się bowiem w zdefiniowanym obszarze blokowania pociągów, który znaleźli specjaliści z Dragon Sector w kodzie innych pojazdów. Remedium na ten problem okazało się wyłączenie zdalnego dostępu serwisowego do pociągów oraz odcięcie niektórych systemów od pozycji GPS.
Natomiast Koleje Mazowieckie zapewniają, że wyłączanie składów miało miejsce w peronach stacji, a pasażerowie nie byli uwięzieni w pociągach. Nawet jeżeli w tym przypadku nie było dla nikogo zagrożenia, to rodzi pytanie: jeżeli możliwe jest wyłączenie pociągu w taki sposób, to czy zdarzenie tego typu na szlaku nie stworzy zagrożenia w „odpowiednich” warunkach?
Fakty i poszlaki
Oficjalnie wciąż nie wiadomo, kto konkretnie odpowiada za dodanie kodu warunkującego blokowanie pociągów wyprodukowanych w Nowym Sączu. Obecność tych warunków, jakkolwiek nie byłyby one napisane, nie jest dowodem wskazującym na winnego. Okoliczności z nimi związane są jedynie poszlakami, które budzą wątpliwości w kontekście stanowisk Newagu.
Przykładem jest zniknięcie blokady w pociągach Kolei Dolnośląskich wysłanych do Nowego Sącza na diagnostykę - której to wyników przewoźnik nie otrzymał pomimo upływu 2 lat i zapłacenia 200 tys. zł za zlecenie; powodem jest przekazanie przez Newag dokumentów do prokuratury w związku z prowadzoną sprawą. Problematyczne są również tłumaczenia producenta pociągów, skupiające się na problemach innych serwisów naprawczych czy wyłączeniu taboru konkurencji z ruchu, podczas gdy na większość pytań dotykających sprawy odpowiedź jest odmowna „ze względu na trwające śledztwo”.
Pozostaje jedynie mieć nadzieję, że na najbliższym posiedzeniu Parlamentarnego Zespołu ds. Walki z Wykluczeniem Komunikacyjnym dyskusja nie ograniczy się jedynie do bezowocnych zmian tematu, tylko przedstawiania faktów związanych ze sprawą blokad. Problem jest bowiem bezprecedensowy, a w obliczu wojny za wschodnią granicą może ujawnić nieznane dotąd podatności taboru kolejowego na polskiej sieci kolejowej.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:*[email protected].*