W czwartek rano awaria 19 z 33 lokalnych centrów sterowania (LCS) sparaliżowała ruch na kolei. Objęła 840 km tras i wywołała wielki chaos. Utrudniła życie krajowym podróżnym i dała się we znaki uciekającym przed wojną Ukraińcom.
Koincydencja zdarzeń
Awaria wystąpiła dwa dni po tym, jak polski premier w towarzystwie wicepremiera ds. bezpieczeństwa i swoich odpowiedników z Czech i Słowenii odbyli podróż do Kijowa na spotkanie z prezydentem Ukrainy. Środkiem lokomocji była kolej.
Na wieść o awarii szybko zaczęły się mnożyć teorie o ataku hakerskim. Alstom, dostawca systemów, które uległy awarii, też zadziałał szybko. Jeszcze przed południem poinformował, że nie było żadnego cyberataku, a za awarię odpowiada usterka kodowania daty w systemach sterowania ruchem Bombardier. Andrzej Adamczyk, minister infrastruktury, poinformował, że problemy z systemem wystąpiły także np. w Indiach, Tajlandii, Peru, we Włoszech, w Szwecji i Holandii.
Kilka godzin później Janusz Cieszyński, pełnomocnik rządu do spraw cyberbezpieczeństwa, po zakończonym posiedzeniu zespołu ds. incydentów krytycznych poinformował, że nic nie wskazuje na atak hakerski.
Mimo informacji, że awaria miała wymiar globalny, w zagranicznych serwisach trudno znaleźć wzmianki o problemach na kolei. Dominowały wiadomości z Polski, wzmiankowane były Włochy. Metro w Delhi było spowolnione przez trzy godziny.
Urządzenia Bombardiera wykorzystywane są także przez koleje rosyjskie. Ani w serwisach informacyjnych, ani w mediach społecznościowych nie pojawiła się informacja, że globalna awaria dotknęła tamtą kolej.
Rosyjski (prze)łącznik
Eksperci od cyberbezpieczeństwa byli zaskoczeni stanowczym oświadczeniem Alstomu o wykluczeniu cyberataku oraz szybkimi ustaleniami zespołu ds. incydentów krytycznych, zwracając uwagę, że w ciągu kilku godzin nie jest możliwy profesjonalny audyt bezpieczeństwa kodów źródłowych i środowiska wytwórczego.
Według oficjalnych informacji awarię spowodował prosty błąd, który okazał się kosztowny i wystąpił w bardzo niefortunnym czasie. W tej koincydencji zdarzeń warto zwrócić uwagę na jeszcze jeden fakt. Urządzenia, które uległy awarii, to EBI Lock 950 wyprodukowane przez Bombardiera, który na początku 2021 r. został przejęty przez Alstom. Według naszych nieoficjalnych ustaleń podwykonawcą tego systemu jest rosyjska firma 2Test.
Dowodów na współpracę Bombardiera z 2Test nie trzeba długo szukać. Rosyjska firma informuje o niej szeroko na swojej stronie internetowej. Z lektury aktualności można się dowiedzieć, że 2Test dostarczała m.in. przemysłowe przełączniki Ethernet, wykorzystywane w systemie EBI Lock 950.
„Przełącznik obsługuje różnorodne funkcje i technologie bezpieczeństwa sieci oraz w pełni spełnia wymagania klienta w zakresie cyberbezpieczeństwa. Wśród nich jest wsparcie dla protokołu SPAN i SNMP v.3.0. z szyfrowaniem danych USM i VACM” — czytamy na stronie.
— Z tych informacji wynika, że 2Test odpowiada za bezpieczeństwo i protokoły transmisji. Nie ma nic bardziej wrażliwego — wskazuje specjalista od bezpieczeństwa.
Czy ten element mógł odpowiadać za usterkę w formatowaniu daty?
— Oczywiście, że tak, bo odpowiadał za protokoły transmisji i przetwarzania danych. Nawet jeżeli czas był przetwarzany lokalnie prawidłowo, to właśnie te protokoły mogły dowolnie zmieniać format czasu — stwierdził ekspert.
Były wysoki oficer ABW pytany o sytuację związaną z rosyjskim podwykonawcą w elementach infrastruktury PKP PLK odpowiedział:
— Czy to żart? To są elementy infrastruktury krytycznej. Na to są procedury. Służby mają swoich ludzi w spółkach kolejowych. To zupełnie nieakceptowalna sytuacja.
Firma nieznana
PKP PLK pytane o podwykonawcę odpowiedziało, że integratorem w zakresie budowy i konstrukcji EBI Lock 950 jest Alstom ZWUS i on bierze odpowiedzialność za cały system.
„Firmy 2Test PKP Polskie Linie Kolejowe nie znają. PLK nie posiada wiedzy dotyczącej wszystkich dostawców komponentów dla Alstom ZWUS, który jest integratorem systemu Ebilock 950 i posiada stosowne badania i dopuszczenie systemu do obrotu na terenie Polski oraz UE” — napisało biuro prasowe.
Tu należy podkreślić, że Urząd Transportu Kolejowego, który dopuszcza urządzenia do stosowania w Polsce, nie zajmuje się ich badaniem pod kątem cyberbezpieczeństwa. PKP PLK poinformowały też, że nie posiadają wiedzy na temat jakichkolwiek ostrzeżeń od polskich służb wobec podwykonawcy systemu.
Alstom pytany o to, czy w urządzeniach, które uległy awarii, stosowano rozwiązania firmy 2Test, odpowiedział, że... wszystkie systemy i urządzenia dotknięte czwartkowym błędem informatycznym zostały przywrócone i są w pełni sprawne.
Warto przypomnieć, że w 2017 r. „Gazeta Polska Codziennie” zwróciła uwagę na inną kwestię — podała w wątpliwość bezpieczeństwo systemów sterowania ruchem firmy Bombardier Transportation. Cytowała pismo rosyjskiego dyrektora Centrum Cyberbezpieczeństwa do wiceprezesa Kolei Rosyjskich. Znalazła się w nim informacja, że podczas badań systemów EBI Lock 950 wykryto błędy, które mogą zagrażać bezpieczeństwu i umożliwiać ataki hakerskie.
Spółka ripostowała, że testy były prowadzone w latach 2014-16, a po ich przeprowadzeniu można było rozwinąć produkt i dzięki temu stał się bezpieczny i spełnia wymagane poziomy cyberbezpieczeństwa.