Newag przesłał do redakcji "Rynku Kolejowego" oświadczenie, w którym odpowiada na zarzuty o celowe unieruchamianie wyprodukowanych przez siebie zespołów trakcyjnych Impuls, w celu czerpania korzyści z ich napraw we własnym serwisie. Z uwagi na bardzo istotną treść, publikujemy je w całości.
– Nasze oprogramowanie jest czyste. Nie wprowadzaliśmy, nie wprowadzamy i nie będziemy wprowadzać w oprogramowanie naszych pociągów żadnych rozwiązań, które prowadzą do celowych awarii. To pomówienie ze strony naszej konkurencji, która prowadzi nielegalną kampanię czarnego PR wobec nas – Newag stanowczo dementuje zmanipulowane informacje Onetu i jego rozmówców, czyli przedstawicieli grupy hakerów wynajętych przez konkurencyjną firmę – SPS Mieczkowski. Z tym że serwis dostarczonych uprzednio zestawów generuje zaledwie około 5 proc. przychodów Newagu. Stanowi to ułamek biznesu w przeciwieństwie do firmy „SPS Mieczkowski”, której serwis to podstawowy profil działania.
– Nieprawdą jest, że wywoływaliśmy usterki naszych pociągów, by rzekomo przejąć zlecenia na ich naprawę. To oszczerstwo. Firma serwisująca tabor dla Kolei Dolnośląskich nie potrafiła wywiązać się ze zlecenia serwisu pociągów naszej produkcji i aby uniknąć kar umownych, stworzyła tę spiskową teorię na potrzeby mediów. Z Onetu dowiedzieliśmy się, że wynajęła hakerów, którzy dla niej mieli stworzyć raport nas obwiniający – mówi Zbigniew Konieczek, prezes Newag SA.
– Nie znamy tego dokumentu, nie wiemy, w jaki sposób powstał, jaka jest przyjęta metodologia, na podstawie czego sformułowano jego bezpodstawne względem NEWAG, tezy. Poza gołosłownymi zarzutami nie przedstawiono żadnego dowodu na to, iż to nasza firma celowo zainstalowała wadliwe oprogramowanie. W naszej ocenie prawda może być zupełnie inna – że np. to konkurencja ingerowała w oprogramowanie. Powiadomiliśmy w tej sprawie właściwe służby. Zresztą nie pierwszy raz powiadamiamy organy ścigania, iż w nasze oprogramowanie modyfikowane jest bez naszej autoryzacji. Już w 2022 informowaliśmy o tym także publicznie. Dziwi więc wystąpienie Janusza Cieszyńskiego byłego ministra cyfryzacji, który mówi o trwających śledztwach, wpisując się przy tym w rozpowszechnianie nieprawdziwych i wysoce szkodliwych informacji na temat Newag, a nie dodając, że wszczęto je z naszych zawiadomień – dodaje Konieczek.
Także teraz, w związku z podaną publicznie przez Onet i jego rozmówców informacją, że systemy sterowania pociągów NEWAG zostały zhakowane – w trosce o bezpieczeństwo pasażerów złożyliśmy stosowne zawiadomienia do uprawnionych organów.
Hakowanie systemów informatycznych jest złamaniem wielu przepisów prawa i zagrożeniem dla bezpieczeństwa ruchu kolejowego. Nie wiemy bowiem, kto, jakimi metodami i jakimi kwalifikacjami dysponujący ingerował w oprogramowanie sterujące pociągami. Powiadomiliśmy też o tym Urząd Transportu Kolejowego, aby podjął decyzję o wycofaniu z ruchu zestawów poddanych działaniom nieznanych hakerów. Jednocześnie informujemy, iż podejmiemy kroki prawne w przypadku dalszego pomawiania spółki w oparciu o „rewelacje” hakerów działających na zlecenie naszej konkurencji. Wystąpimy również ze stosownymi pozwami wobec „rzekomych hakerów” i – jak podają media – ich zleceniodawców, czyli firmę „SPS Mieczkowski”.
Poniżej prostujemy manipulacje, nieprawdy podając prawdziwe fakty:
1. Elektryczne zespoły trakcyjne dostarczamy najczęściej z 3 letnią gwarancją.
2. Pojazdy będące w posiadaniu Kolei Dolnośląskich czy Kolei Mazowieckich były poza gwarancją. Pojazdy Kolei Dolnośląskich zostały dostarczone w 2017 r. Od tego czasu przez 6 lat pozostawała pod kontrolą innych niż Newag podmiotów.
3. Już w 2022 roku spółka stwierdziła ingerencję w systemy sterowania pojazdami, dokonaną przez podmioty trzecie, o czym poinformowała w publicznym oświadczeniu prasowym. O powyższym fakcie spółka powiadomiła również odpowiednie organy i służby, w tym Agencję Bezpieczeństwa Wewnętrznego, Prezesa Urzędu Transportu Kolejowego, Prokuraturę oraz Służbę Kontrwywiadu Wojskowego, jak również zwróciła uwagę użytkownikom Pojazdów na konieczność sprawowania odpowiedniego nadzoru nad eksploatacją i utrzymaniem pojazdów oraz ryzyko związane z dokonywaniem ingerencji w system sterowania pojazdami kolejowymi przez podmiot nieuprawniony.
4. Umowy dostawy w nielicznych przypadkach zobowiązują nas do wykonywania czynności utrzymania pojazdów w okresie gwarancji. Utrzymanie przedmiotowych pojazdów (KD, KM) leżało od dawna w gestii przewoźników i ich kooperantów.
5. W toku utrzymania pojazdów dostęp fizyczny do nich ma bardzo wiele podmiotów. To na użytkowniku końcowym ciąży obowiązek ograniczenia dostępu fizycznego do krytycznych podzespołów/systemów pojazdów.
6. Zabudowane w pojazdach systemy bezpieczeństwa, w tym systemy sterowania, oparte są na sterownikach przemysłowych zapewniających właściwy poziom bezpieczeństwa, rozwiązania te jednak nie gwarantowały w przeszłości i również dzisiaj nie gwarantują pełnego fizycznego ograniczenia dostępu do nich. Fizyczna ochrona taboru należy do przewoźników.
7. Producent sterowników systemu w każdym czasie umożliwia i umożliwiał dostęp do oprogramowania sterującego pojazdem.
8. W konsekwencji w dowolnym czasie możliwe było wykonanie tzw.
reverse engineering oprogramowania sterującego (tj. zhakowanie) poprzez przeniesienie jego kodu dekompilacji, modyfikacji oraz ponowne załadowanie zmienionego oprogramowania sterującego.
9. Kategorycznie zaprzeczamy i negujemy wgrywanie przez Newag jakiejkolwiek funkcjonalności w systemach sterowania pojazdów ograniczającej lub uniemożliwiającej prawidłową eksploatację pojazdów jak również ograniczających krąg podmiotów mogących świadczyć usługi utrzymaniowe lub naprawcze.
10. W tekście portalu onet.pl pojawiły się rażące błędy logiczne i absurdy. Otóż oczywiste jest, iż nawet najlepszy haker może co najwyżej próbować poznać treść określonego zapisu cyfrowego. Żaden haker nie jest natomiast w stanie, na podstawie samego zapis cyfrowego, wskazać kto konkretnie jest „autorem” określonego zapisu cyfrowego. Z tego względu insynuowanie przez dziennikarzy portalu onet.pl, jakoby rzekomo „ktoś z Newagu” miało coś „wpisać” w oprogramowaniu, stanowi bezprawne pomówienie.
11. Opisywane przez dziennikarzy portalu onet.pl pojazdy, których zhakowanie zlecił podmiot konkurencyjny, były przedmiotem drobiazgowych odbiorów przed sprzedażą, od dawna nie są w posiadaniu spółki, oprogramowanie systemu sterowania jest zainstalowane na fizycznym nośniku zamontowanym w danym Pojeździe i ma charakter „offline”(brak połączenia z siecią), przez co faktycznie niemożliwa jest jakakolwiek ingerencja zdalna ze strony Newag.
Szerzej o akcji hakerów oraz zarzutach unieruchamiania Impulsów przez producenta piszemy w tym miejscu.