Trudne realia polskiej kolei. AI pomoże PKP?

Po wieloletniej przerwie i opóźnieniach, w połowie grudnia i na początku marca br. na sieci PKP Polskich Linii Kolejowych ruszył system łączności głosowej GSM-R. Nie jest to jednak jedyna kwestia związana z branżą cyber, która dotyka transport kolejowy w Polsce. Na naszych łamach informowaliśmy zarówno o cyberatakach na przewoźników, jak również dezinformacji.

Jak z tymi wyzwaniami radzi sobie PKP S.A. oraz Grupa PKP? O aktualnych wyzwaniach na polskiej kolei rozmawiamy z Alanem Beroud, prezesem spółki, a w latach 2019-2024 prezesem Szybkiej Kolei Miejskiej w Warszawie.

Problem w cyberatakch leży po stronie ludzkiej

Paweł Makowiec, CyberDefence24: Dużo słyszymy o cyberatakach na obiekty związane z energetyką, wodociągami czy szpitale. W zeszłym roku pojawiły się też doniesienia o operacji wymierzonej w system sprzedażowy PKP Intercity. Z jak dużym ryzykiem mierzy się cała Grupa PKP?

Alan Beroud, prezes PKP S.A.: W zeszłym roku mieliśmy w sumie 800 zdarzeń i incydentów, jeżeli chodzi o cyberataki różnego typu. Za neutralizowanie ich odpowiada przede wszystkim PKP Informatyka, ale poszczególne spółki Grupy również posiadają swoje zespoły bezpieczeństwa. Staramy się adekwatnie reagować na te próby. Na chwilę obecną żaden cyberatak na trwałe nie zakłócił ciągłości działania, a to oznacza, że sobie z nimi radzimy.

Natomiast mamy na uwadze fakt, że w związku z sytuacją za naszą wschodnią granicą operacje w sieci niestety będą się nasilały. To jest także kwestia sprawdzania odporności naszej infrastruktury. Te zjawiska są obecne w całej Europie.

Kilka tygodni temu zaczęła obowiązywać nowelizacja rozporządzenia Ministra Infrastruktury w sprawie poważnych wypadków, wypadków oraz incydentów w transporcie kolejowym. Ujęto w niej kwestie cyberataków na kolei i procedury ich zgłaszania. Pana zdaniem szeregowi pracownicy będą wiedzieli przy zgłaszaniu, że mieli do czynienia z cyberatakiem, a nie na przykład zwykłą awarią?

§ 4 ust. 4 tego rozporządzenia odnosi się do przewoźników kolejowych, którzy przeszkolili i poinformowali o tej zmianie swoich pracowników. My na bieżąco szkolimy naszych pracowników. Mamy całą grupę dotyczącą obronności, specjalny zespół Red Team CERT, który prowadzi PKP Informatyka oraz na bieżąco prowadzimy wewnętrzną komunikację. Staramy się informować pracowników o tym, jakiego typu są te ataki, aby mieli wiedzę umożliwiającą im odróżnienie awarii od cyberataków.

Natomiast we wszystkich spółkach, które zajmują się infrastrukturą krytyczną, nie tylko kolejowych, ten problem zawsze był po stronie ludzkiej. Podczas mojej pracy w różnych firmach uczulaliśmy pracowników na kwestie phishingu, cyberataków, robiliśmy testy z zakresu wysyłania im maili, sprawdzaliśmy, jak często w nie klikają i co to może spowodować. Zawsze przeprowadzenie tego typu prób i testów jest ciekawe i pokazuje, gdzie jeszcze są kwestie, które trzeba uszczelnić.

Czy podmioty z Grupy PKP zamierzają uczestniczyć w programach rządowych związanych z cyberbezpieczeństwem, jeżeli takowe się pojawią? A może już uczestniczą?

Uczestniczymy w grupie ISAC Kolej, do której należy również NASK. Bierzemy także udział na poziomie rządowym i pozarządowym w inicjatywach europejskich, m.in. w COLPOFER działającym w ramach UIC (Międzynarodowego Związku Kolei), którego jeszcze do niedawna byłem przewodniczącym. COLPOFER zajmuje się kwestiami bezpieczeństwa na wszystkich kolejach regionu europejskiego, bardzo prężnie działa, wymienia się doświadczeniami.

Ostatnio podczas spotkania z Andriusem Kubuliusem, komisarzem europejskim ds. obrony i przestrzeni kosmicznej rozmawiałem o tym, że trzeba zintensyfikować działania. Analizowaliśmy również potrzebę zbudowania europejskiej bazy danych dotyczącą cyberataków po to, żeby móc się dzielić wiedzą.

Według informacji przekazanych przez Ministerstwo Infrastruktury, CSIRT Infrastruktura jest na etapie realizacji. Jak PKP S.A. oraz Grupa PKP zapatrują się na tę kwestię? Czy resort zwracał się może o opinię w tej sprawie?

Oceniamy tę inicjatywę jako istotną dla całego sektora oraz państwa i zwracaliśmy się z prośbą o opinię. Posiadamy sektorowe zespoły reagowania na incydenty komputerowe. Mamy nadzieję, że specjaliści z tego obszaru będą mogli lepiej współdziałać.

AI na polskiej kolei? "Trzeba do niej dojrzeć"

Pozwolę dotknąć tematu eksploatacji GSM-R w spółkach Grupy PKP, przede wszystkim od strony przewoźników – w tym przypadku najwięcej mówiło się o kwestii szkoleń maszynistów. Czy ze spółek podległych PKP S.A. napływały jakieś sygnały w tym kontekście?

W spółkach podległych na większości jednostek mamy wdrożone radiotelefony GSM-R i np. w PKP CARGO ponad 60% załóg jest przeszkolonych. Ten poziom pozwala nam na swobodne prowadzenie ruchu, jeżeli GSM-R byłby wdrożony na całej infrastrukturze kolejowej, po stronie przewoźników jest to zagospodarowane. Czekamy na dalsze wdrożenie cyfrowego systemu, który przyczyni się do bezpieczeństwa w infrastrukturze kolejowej.

Z drugiej strony nie można zapomnieć o utrzymaniu łączności analogowej. Przykład Ukrainy pokazuje, że cyfrowa łączność tam po prostu nie działa, a ruch kolejowy jest prowadzony manualnie. Tak samo jest z kwestią szkolenia zespołów z analogowego i manualnego prowadzenia ruchu kolejowego w sytuacji w pełni kryzysowej, kiedy nie posiadamy łączności cyfrowej albo mamy problem z zasilaniem.

Infrastruktura w Ukrainie cały czas podlega atakom, m.in. przez drony wykorzystujące AI i termowizję. W tej chwili są one w stanie podlecieć i strzelać bezpośrednio w podstacje trakcyjne, co powoduje brak zasilania na długich odcinkach i zerwanie światłowodów. Jedyne co może w takiej sytuacji pomóc, to prowadzenie ruchu kolejowego w sposób konwencjonalny.

Czy pana zdaniem sztuczna inteligencja ma jakieś szanse na kolei, czy raczej – poza pewnymi próbami – na dłużej nie zagości?

Oczywiście, że ma. Sztuczna inteligencja jest bardzo szerokim tematem, który docelowo będzie wpływał na optymalizację wszystkich procesów, również na prowadzenie ruchu kolejowego. Naturalnie trzeba do niej dojrzeć, przyzwyczaić się, poradzić sobie z dużą ilością kwestii regulacyjnych.

Używanie narzędzi sztucznej inteligencji ma to do siebie, że spółki, w których AI operuje, znajdują się w tzw. chmurze, czyli poza pełną kontrolą firmy. I tu pojawia się pytanie, w jaki sposób sobie z tym poradzić: czy powinno to być w jakiś sposób uregulowane, czy powinny być podpisane w tej kwestii odpowiednie klauzule? My odpowiadamy za przetwarzanie danych, informacje wrażliwe, RODO. Jeżeli dane są u kogoś na serwerach, to siłą rzeczy wychodzą spod naszej administracji i z tymi problemami musimy sobie poradzić. To jest kwestia normatywna.

A z perspektywy funkcjonowania organizacji? Podejmujecie już jakieś kroki w kierunku wdrożenia AI u siebie?

Zupełnie inną kwestią jest zdolność organizacji do korzystania z AI. Z rozwiązaniami informatycznymi jest tak, że zawsze możemy je wdrożyć, ale to nie znaczy, że będą odpowiednio i zawsze działały, bo to tak naprawdę tylko aplikacja, urządzenie. Żeby z tego typu narzędzi korzystać, potrzebna jest odpowiednia dojrzałość organizacji – a do tego trzeba przeszkolić wszystkich pracowników z zakresu AI. Najpierw trzeba przeszkolić menadżerów z tego, jakie w ogóle są rozwiązania, jak można z nich korzystać, w jaki sposób mogą wpłynąć na organizację, a dopiero, jak już osiągniemy pewien poziom wiedzy, będziemy w stanie wdrażać konkretne rozwiązania pomocne w optymalizacji procesów organizacyjnych.

Jesteśmy w tej chwili na takim etapie, że staramy się wyselekcjonować odpowiednie szkolenia dla naszej kadry po to, żeby pracownicy nauczyli się i byli w stanie przewidzieć, w których miejscach w organizacji AI będzie miało największy sens i jakie konkretne rozwiązania wdrażać, również ze względów bezpieczeństwa. Jednocześnie prowadzimy testowe wdrożenia różnych rozwiązań AI, w tym dedykowanych, aby móc docelowo jak najskuteczniej je wdrożyć produkcyjnie.

Cyfrowe bliźniaki kolejowe? "Niewykluczone"

Jak to wygląda na innych europejskich kolejach?

Część naszych kolegów w Europie zaczęła już realizować pewne projekty. Między innymi SNCF wdrożył cyfrowego bliźniaka na jednym ze swoich dworców. Prezes SNCF Group, Jean Castex, ma nam pokazać, co udało mu się dotychczas osiągnąć w tym zakresie. Możemy sobie wyobrazić, że odpowiednio wdrożone narzędzia będą w stanie przewidzieć i dopasować w zasadzie wszystkie procesy, które zachodzą na dworcu do konkretnych zdarzeń.

Będziemy w stanie zasymulować niską temperaturę albo kryzys na peronie, wypadek. Taki cyfrowy bliźniak polega na tym, że wprowadzamy całe opomiarowanie i wszystkie składowe, które są w danym miejscu, w danym procesie. Następnie AI na podstawie analizy jest w stanie nam odpowiedzieć, co może się stać w konkretnych warunkach.

Z drugiej strony, sztuczna inteligencja na pewno będzie miała duże znaczenie na każdym etapie organizacji. Przykładowo u nas biuro prawne w tej chwili prowadzi około 2 tys. spraw. Po wprowadzeniu AI będziemy w stanie zoptymalizować strukturę zarządzania przedsiębiorstwem i poszczególnych procesów.

W tych wszystkich rozwiązaniach sztucznej inteligencji konieczne jest utrzymanie wysokiej kompetencji, czyli kogoś, kto jest osobą decyzyjną i jest w stanie zmodelować odpowiedni proces.

Nie możemy jednak ulec złudzeniu, że sztuczna inteligencja zastąpi ludzi na każdym poziomie decyzyjnym. Zdarzają się sytuacji, że np. ktoś z pionu niezajmującego się kwestiami prawnymi przygotowuje opinię, po której widać, że jest napisana przez AI, albo ktoś, kto się zajmuje kwestiami inżynierskimi, przynosi jakąś analizę finansową wykonaną przez AI. Jak wnikniemy w tę analizę, to na poziomie specjalisty w danym zagadnieniu widać, że sztuczna inteligencja popełniła mnóstwo błędów, skłamała 10 razy, żeby wygenerować odpowiedni wynik.

Natomiast jeżeli na taki materiał patrzy ktoś, kto nie ma odpowiednich kompetencji i nie jest w stanie ocenić pracy AI, to bezwiednie przynosi ten dokument, przekonany, że dzięki algorytmom udało mu się wyprodukować coś, co ma odpowiednią treść merytoryczną. Przede wszystkim musimy nauczyć ludzi, jak korzystać z AI, zanim ją wdrożymy, bo zaufanie bez odpowiedniego wybudowania kompetencji, może się źle skończyć.

Czy nie jest wykluczone, że PKP S.A. też będzie miała cyfrowego bliźniaka?

Wcześniej czy później tak – to jest kwestia czasu, a nie kwestia „czy”. Natomiast cały proces dostosowania organizacji do odpowiedniego korzystania z AI – nie mówię o pewnych małych projektach, które oczywiście będziemy realizowali – ale całościowy proces przebudowania organizacji na korzystanie z AI to są lata. To musi trwać odpowiedni czas; ludzie po prostu muszą się wiele nauczyć, a w organizacji, jaką jest Grupa PKP w całości zatrudniającej ok. 60 tys. osób, każda duża zmiana trwa lata.

Tak naprawdę efekty decyzji, które podejmujemy dziś, będziemy obserwowali za trzy lata. Obecnie nie udostępniłbym nieprzygotowanej organizacji agentów AI, bo zamiast zoptymalizować organizację, mogłoby to spowodować chaos.

Pod koniec lutego w Sejmie pojawiły się informacje, że w PKP Intercity algorytmy mają układać harmonogramy pracy i że powodują one spore problemy. Jak to wygląda z punktu widzenia PKP S.A.? Czy w innych spółkach Grupy PKP będą podobne zmiany?

Docelowo będą tego typu zmiany, natomiast jest to pieśń przyszłości. Możemy na jakichś określonych próbach testować rozwiązania i patrzeć, jak będą działały. Na pewno niemożliwe jest, aby w tej chwili zastosować nowe rozwiązania w ruchu kolejowym i rzucić się „na żywioł”. Najpierw musimy się nauczyć jak korzystać z AI, potem musimy ją przetestować, a dopiero potem wdrażać.

PKP a dezinformacja. "Najlepsi factcheckerzy to nasze zespoły komunikacji"

W listopadzie mieliśmy duże kontrowersje wokół zamknięcia stacji Warszawa Centralna - dworzec pozostał otwarty. Pojawiło się bardzo dużo fałszywych informacji w przestrzeni publicznej co do tej sprawy. PKP PLK w odpowiedzi dla CyberDefence24 stwierdziły, że nie współpracują z organizacjami factcheckingowymi i na własną rękę zwalczają dezinformacje. Jak to wygląda w przypadku PKP S.A., jak i całej Grupy PKP?

Jeżeli chodzi o Grupę PKP to najlepszymi factcheckerami są nasze zespoły zajmujące się komunikacją zarówno zewnętrzną, jak i wewnętrzną. Dla nas kluczem jest odpowiednie prowadzenie komunikacji.

W przypadku Dworca Centralnego komunikacja została odpowiednio wcześniej przez Grupę PKP przygotowana. PKP Polskie Linie Kolejowe też mówiły o zamiarze przeprowadzenia planowanych robót. My tę komunikację odpowiednio wcześniej zaczęliśmy budować wspólnie z zespołem PKP PLK. Informacje były m.in. w naszych mediach społecznościowych i w prasie.

Natomiast w dzisiejszym świecie w ogóle trudno jest walczyć z dezinformacją. Żyjemy w takiej rzeczywistości, na którą największy wpływ ma ten, kto ma dużą liczbę kont, zasięgi i jest w stanie wrzucić odpowiedni komunikat, który przeczyta wielu ludzi. Często trudno jest potem oddzielić to, co jest prawdziwe, od tego co jest nieprawdziwe.

Jeżeli ktoś o dużej sile medialnej specjalnie podał informację, że PKP zamyka dworzec z jakiegoś konkretnego powodu i jeszcze nastąpiła jakaś zbieżność dat, to wiadomo, że ludzie zaczynają w tego typu kwestie wierzyć.

Z jednej strony staramy się unikać komunikatów wrażliwych na manipulację, a z drugiej tę dezinformację poprzez odpowiednią komunikację od razu zwalczać. Mamy nadzieję, że osiągniemy w tym jakiś sukces.

System informacji pasażerskiej na stacji Warszawa Śródmieście, która znajduje się w gestii PKP S.A., od ponad roku pracuje w trybie awaryjnym. Tablice klapkowe w holu w kierunku zachodnim w ogóle nie działają, w przypadku opóźnień potrafi zdezorientować pasażerów w halach odjazdowych. Czy na wymianę na system cyfrowy trzeba będzie czekać do modernizacji linii średnicowej?

To sprawa na styku PKP S.A. i PKP PLK S.A. Oczywiście systemy dynamicznej informacji pasażerskiej są nasze, natomiast my tę informację udzielamy następczo; PKP PLK tworzą ją i mają dostęp do danych. Tablice na Śródmieściu są po prostu stare, nie ma do nich części zamiennych, nie da się ich modernizować.

Docelowo planowana jest wymiana tych systemów informacji. To też jest projekt, który my musimy razem zrobić z PKP Polskimi Liniami Kolejowymi przy okazji modernizacji, żeby wdrożyć rozwiązanie, które będzie działało na przyszłość.

Obecny sposób działania jest trochę bez sensu. Jeżeli są dwie organizacje odpowiedzialne za ten sam proces, przy czym jedna z nich ma tylko końcówkę odbierającą i transferującą, to nie jest właściwie ułożony proces. Musimy przepracować sprawę z PLK i wtedy będziemy wdrażać oraz modernizować SDIP na Śródmieściu.

Do dziś pokutuje pogląd, że incydenty z Radio-Stopem z sierpnia 2023 roku były cyberatakiem. Czy Pan się zgadza z tym poglądem, że nadużycia Radio-Stopu są cyberatakami, czy to jest raczej pogląd absurdalny?

Ja preferuję trzymanie się pewnego rodzaju definicji. Jeżeli mamy definicję cyberataku, to użycie Radio-Stopu jest mało „cyber”. Z jednej strony oczywiście to działanie przeciwko infrastrukturze, które może służyć wywołaniu pewnego zjawiska czy sparaliżowaniu ruchu kolejowego na jakimś odcinku. Z drugiej strony, osobiście wolałbym trzy razy użyć niepotrzebnie Radio-Stopu, niż doprowadzić do katastrofy kolejowej.

Dziękuję za rozmowę.