Interpelacja w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA
Data wpływu: 2025-01-13
Co to jest interpelacja? To formalne pytanie posła do organu władzy (np. ministra) w konkretnej sprawie publicznej.
Przeglądaj też tematy interpelacji, profile posłów i druki sejmowe.
Posłanka wyraża zaniepokojenie potencjalnymi zagrożeniami cyberbezpieczeństwa w transporcie kolejowym, w szczególności w kontekście problemów z pociągami Impuls firmy Newag SA i pyta o działania podejmowane przez organy państwowe w tej sprawie. Pyta o analogiczne sytuacje u innych producentów, kroki podjęte w celu wyjaśnienia zagrożeń, analizy wpływu funkcji ograniczających działanie oprogramowania na bezpieczeństwo oraz współpracę między różnymi organami państwowymi w celu poprawy cyberbezpieczeństwa.
HTML źródłowy dostępny także bez JavaScript
Interpelacja w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA Interpelacja nr 7393 do ministra infrastruktury w sprawie cyberbezpieczeństwa i bezpieczeństwa transportu kolejowego w kontekście problemów z pociągami Impuls produkowanymi przez firmę Newag SA Zgłaszający: Paulina Matysiak Data wpływu: 13-01-2025 Szanowny Panie Ministrze, w związku z ujawnieniem potencjalnych zagrożeń dla infrastruktury krytycznej państwa, związanych z wykryciem mechanizmów celowo wywołujących awarię w systemach sterowania taborem kolejowym firmy Newag, składam niniejszą interpelację dotyczącą działań podejmowanych przez organy państwowe w tej sprawie.
Analizy techniczne wykonane przez ekspertów ds. cyberbezpieczeństwa wskazały na obecność funkcji w kodzie oprogramowania, które ograniczały działanie systemów sterowania w pociągach eksploatowanych przez polskich przewoźników. Prokuratura Regionalna w Krakowie prowadzi śledztwo (sygn. 2004-1.Ds.8.2023), którego celem jest wyjaśnienie tej sprawy. Szczególny niepokój budzi fakt, że wykryte modyfikacje oprogramowania prowadziły do nieplanowanych zatrzymań składów kolejowych firmy Newag na podstawie odczytu bieżącej lokalizacji geograficznej (koordynaty GPS). Awarie były wynikiem zapisów w kodzie oprogramowania.
W kontekście obecnej sytuacji geopolitycznej naszego kraju oraz znaczenia infrastruktury krytycznej (w tym również kolejowej) dla bezpieczeństwa państwa, bezwzględnie konieczne wydaje się kompleksowe wyjaśnienie tych, jak i wszystkich podobnych im incydentów. Szczególnej uwagi wymaga weryfikacja potencjalnych zagrożeń dla ciągłości funkcjonowania transportu kolejowego w czasie krytycznym bądź w chwili zagrożenia oraz wykluczenie ewentualnej możliwości wykorzystania wykrytych podatności przez podmioty zewnętrzne działające na szkodę Polski.
Mając na uwadze powyższe oraz kierując się troską o bezpieczeństwo obywateli i infrastruktury krytycznej państwa oraz działając na podstawie art. 14 ust. 1 pkt 7 ustawy z dnia 9 maja 1996 r. o wykonywaniu mandatu posła i senatora (t.j. Dz. U. z 2022 r. poz. 1339), proszę o udzielenie odpowiedzi na następujące pytania: Czy analogiczne sytuacje (celowe awarie wywoływane na podstawie koordynatów GPS zapisanych w kodzie oprogramowania) występują również w systemach innych producentów taboru kolejowego?
Czy tabory kolejowe są sprawdzane pod tym kątem przez końcowych użytkowników przy odbiorze zamówionych taborów od producentów, względnie po przeprowadzonych u nich remontach bądź ich modernizacjach? Jak wygląda szczegółowo proces sprawdzania bezpieczeństwa przyjmowanych do eksploatacji elementów taboru kolejowego, w szczególności w aspekcie ich oprogramowania? Jak wyglądają procedury zapobiegania sabotażom i lub aktom terroryzmu poprzez stosowne zmodyfikowanie wgranego na poziomie produkcji oprogramowania taborowego mogące doprowadzić do katastrofy w ruchu kolejowym?
Czy odbierane przez podmioty zamawiające elementy taboru są sprawdzane na okoliczność zaszycia w ich oprogramowaniu na etapie produkcji bądź remontu tzw. backdoorów umożliwiających osobom bądź podmiotom trzecim nieautoryzowany dostęp do oprogramowania elementów taboru? Jaka instytucja w państwie odpowiada za zapewnienie bezpieczeństwa w tym zakresie i identyfikację nieautoryzowanego dostępu do oprogramowania elementów taboru?
Jakie kroki zostały podjęte przez przewoźników oraz producenta w celu wyjaśnienia zagrożeń związanych z funkcjonowaniem mechanizmów ograniczających działanie oprogramowania w pociągach firmy Newag oraz zapobiegania podobnym problemom w przyszłości? Czy Ministerstwo Infrastruktury lub jednostki podległe przeprowadziły analizę wpływu funkcji ograniczających działanie oprogramowania pociągów firmy Newag na bezpieczeństwo obywateli oraz funkcjonowanie infrastruktury krytycznej? Czy w ramach działań ministerstwa lub podległych jednostek (np.
Urzędu Transportu Kolejowego, Agencja Bezpieczeństwa Wewnętrznego) badano podobne zagrożenia dla taboru kolejowego innych producentów, w tym również zagranicznych? Jak wygląda certyfikacja producentów taboru chcących oferować swoje produkty na rynku polskim? Czy zamawiający i/lub użytkownicy tego typu sprzętu mają możliwość przeglądu i ewentualnej modyfikacji oprogramowania tego typu, celem zapewnienia bezpieczeństwa funkcjonowaniu składów kolejowych w Polsce? Jakie działania podjęto w celu zapewnienia, że analogiczne incydenty nie będą miały miejsca w przyszłości?
Posłanka Paulina Matysiak interweniuje w sprawie nieprawidłowości w studiach podyplomowych dających kwalifikacje nauczycielskie, gdzie uczelnie oferują programy niespełniające standardów, a absolwenci są wprowadzani w błąd. Pyta o działania ministerstw w celu zapewnienia odpowiedniego nadzoru i ochrony słuchaczy przed nieuczciwymi praktykami.
Posłanka Paulina Matysiak wyraża zaniepokojenie planowanymi zmianami organizacyjnymi w Banku Pocztowym SA i Poczcie Polskiej Finanse sp. z o.o., pytając o analizę ryzyka, zgodność z regulacjami i wpływ na pracowników. Pyta, czy Ministerstwo Aktywów Państwowych oceniło wpływ tych zmian na bezpieczeństwo klientów, zarządzanie majątkiem publicznym i stabilność zatrudnienia.
Interpelacja dotyczy nagłego zaprzestania pełnienia funkcji przez polskiego przedstawiciela w Radzie ICAO po zaledwie sześciu miesiącach od powołania, co kompromituje Polskę. Posłowie pytają o przyczyny rezygnacji, uzgodnienia z ministerstwami i krajami CERG oraz o koszty promocji kandydata i przyszłe reprezentowanie Polski w ICAO.
Projekt ustawy ma na celu implementację dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2557 w sprawie odporności podmiotów krytycznych. Wprowadza zmiany w ustawie o zarządzaniu kryzysowym oraz w niektórych innych ustawach, definiując m.in. pojęcia takie jak 'podmiot krytyczny', 'usługa kluczowa' i 'incydent istotny'. Projekt określa nowe zadania i obowiązki organów właściwych w sprawach zarządzania kryzysowego oraz podmiotów krytycznych, a także zasady sprawowania nadzoru i kontroli. Wprowadza również dokumenty strategiczne takie jak Krajowa Ocena Ryzyka (KOR) i Krajowa Strategia Odporności Podmiotów Krytycznych (KSOPK).
Projekt ustawy wprowadza obowiązek stosowania kas rejestrujących przez przewoźników i operatorów publicznego transportu zbiorowego wykonujących przewozy w transporcie kolejowym od 1 kwietnia 2027 roku. Dodatkowo, warunek otrzymania dopłaty (z art. 55 ust. 11 pkt 2 ustawy o publicznym transporcie zbiorowym) będzie stosowany wobec tych podmiotów również od 1 kwietnia 2027 roku. Ustawa wchodzi w życie z dniem następującym po ogłoszeniu, ale z mocą wsteczną od 1 stycznia 2026 r. Ma to na celu uszczelnienie systemu rozliczeń i ewidencji w transporcie kolejowym.
Projekt ustawy zmienia ustawę o publicznym transporcie zbiorowym, przesuwając termin objęcia przewoźników kolejowych obowiązkiem stosowania kas rejestrujących z 1 stycznia 2026 r. na 1 kwietnia 2027 r. Ma to na celu zharmonizowanie przepisów z regulacjami podatkowymi dotyczącymi automatów vendingowych na pokładach pociągów. Zmiana ta zapobiega sytuacji, w której przewoźnicy byliby zobowiązani do ewidencji sprzedaży za pomocą kas rejestrujących wcześniej, niż wynikałoby to z przepisów podatkowych, unikając tym samym niepotrzebnych kosztów i trudności. Uzasadnieniem jest zapewnienie spójności prawa i uniknięcie obciążania przewoźników dodatkowymi obowiązkami administracyjnymi.
Projekt ustawy wprowadza zmiany w ustawie o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustawach. Zmiany dotyczą definicji podmiotów kluczowych i ważnych, obowiązków tych podmiotów związanych z cyberbezpieczeństwem, w tym terminów na uzupełnienie danych w wykazie i wdrażanie systemów zarządzania bezpieczeństwem informacji. Wprowadzono również mechanizmy wsparcia dla jednostek samorządu terytorialnego w zakresie cyberbezpieczeństwa oraz przesunięto termin możliwości nakładania kar pieniężnych za naruszenia przepisów. Dodatkowo doprecyzowano kwestie dotyczące osób realizujących zadania w CSIRT i podmiotach kluczowych oraz ważnych.
Projekt ustawy nowelizuje ustawę o krajowym systemie cyberbezpieczeństwa oraz szereg innych ustaw, implementując dyrektywę NIS2 (2022/2555) i częściowo stosując rozporządzenie delegowane Komisji (UE) 2024/1366. Celem jest podniesienie poziomu cyberbezpieczeństwa w Polsce poprzez wprowadzenie nowych definicji, rozszerzenie zakresu podmiotów objętych regulacjami (podmioty kluczowe i ważne) oraz doprecyzowanie obowiązków. Ustawa ma na celu dostosowanie polskiego prawa do wymogów unijnych w zakresie cyberbezpieczeństwa, szczególnie w odniesieniu do infrastruktury krytycznej i usług cyfrowych. Wprowadza także zmiany dotyczące prowadzenia wykazu podmiotów kluczowych i ważnych oraz ich obowiązków w zakresie zarządzania cyberbezpieczeństwem.