Historia z pociągami, które magicznie się psuły w obcych warsztatach, wraca jak bumerang. Polski producent Newag nie tylko nie odpuszcza, ale wytoczył ciężkie działa. Poszły wielomilionowe pozwy przeciw serwisowi SPS i członkom grupy Dragon Sector.
W 2023 r. pasażerowie regionalnych składów Impuls poznali bardzo osobliwy rodzaj punktualności. Pociągi potrafiły odmawiać współpracy niemal co do dnia, wyświetlać komunikaty o rzekomej awarii i stawać na torach tak konsekwentnie, iż przewoźnicy zaczęli mówić o psuciu się jak w zegarku.
Kulisy wyszły na jaw dopiero wtedy, gdy przewoźnik poprosił o pomoc grupę etycznych hakerów Dragon Sector oraz niezależny Serwis Pojazdów Szynowych. Jak pisał wtedy Adam Bednarek, analiza systemu ujawniła, iż część składów była zaprogramowana tak, by w określonych warunkach po prostu się blokować. Jednym z mechanizmów miał być licznik dni postoju poza ruchem. jeżeli pociąg zbyt długo stał, uruchamiał się bezpiecznik unieruchamiający pojazd. Innym było wykorzystanie GPS do wykrywania lokalizacji niezależnych warsztatów i doprowadzanie do blokady właśnie tam.
W efekcie obserwowaliśmy masowo blokowane składy, spory między producentem a serwisami, a w tle wybrzmiewało pytanie, czy nie mamy do czynienia z próbą wymuszenia serwisowania pociągów wyłącznie u producenta. Sprawą zainteresował się również Urząd Ochrony Konkurencji i Konsumentów, który wszczął postępowanie wyjaśniające w sprawie praktyk rynkowych producenta.
Newag kontratakuje: dwa pozwy, dwie rozprawy, dwie grupy pozwanych
Producent pociągów nie ograniczył się jedynie do polemik w mediach. W dwóch sądach – w Warszawie i Gdańsku – złożył pozwy przeciwko Dragon Sector i SPS. W stolicy domaga się odszkodowania rzędu ponad 6,4 mln zł za rzekome naruszenie praw autorskich i nieuczciwą konkurencję, w Gdańsku – ponad 5,1 mln zł z tytułu naruszenia dóbr osobistych i kolejnych zarzutów związanych z działalnością niezależnego serwisu.
Firma twierdzi, iż hakerzy oraz serwis mieli bezprawnie ingerować w oprogramowanie pociągów, a swoją analizą i publicznymi wystąpieniami zaszkodzić jej reputacji i interesom. Jednocześnie od lat utrzymuje, iż nie programowała swoich składów tak, by karać je za wizytę w innym warsztacie, choć biegli i eksperci od cyberbezpieczeństwa wprost mówią o celowych blokadach.
Pozwy są wymierzone nie tylko w spółkę serwisową, ale także w konkretne osoby – członków zespołu badawczego, których nazwiska do tej pory pojawiały się głównie przy okazji konferencji poświęconych bezpieczeństwu systemów informatycznych. Producent pokazuje więc, iż jest gotów walczyć nie tylko z firmami konkurencyjnymi, ale także z tymi, którzy publicznie opisali sposób działania jego oprogramowania.
Software’owy kaganiec na pociągu. Skąd w ogóle takie pomysły?
Jeśli można programowo kontrolować, kto i gdzie serwisuje pojazd, łatwiej utrzymać monopol na naprawy, sprzedaż części i aktualizacje oprogramowania, prawda? To model znany z wielu innych branż – od ciągników rolniczych po telefony.
W rolnictwie flagowym przykładem jest John Deere, który przez lata blokował niezależne naprawy i straszył serwisy sądami, korzystając z przepisów amerykańskiej ustawy DMCA. Tam modyfikacja systemu maszyny bywa traktowana jak próba złamania zabezpieczeń antypirackich, choć użytkownik po prostu próbuje utrzymać swój sprzęt w ruchu.
W przypadku pociągów dochodzi jeszcze kwestia bezpieczeństwa. W dokumentach procesowych producent argumentuje, iż ingerencje osób trzecich w kod mogą rzekomo zagrażać pasażerom. Problem jednak w tym, iż w tej konkretnej historii to właśnie fabryczny kod miał powodować nieuzasadnione blokady składów, a hakerzy na podstawie analizy doprowadzili do ich ponownego uruchomienia.
Jeśli specjalistyczny serwis nie może legalnie zaglądać do systemu pojazdu, to po prostu oznacza to konieczność wracania do jednego, błogosławionego warsztatu. A to przekłada się na dłuższe przestoje, wyższe koszty i mniejszą konkurencję na rynku napraw.
Czy haker może być sprzymierzeńcem pasażera?
Unia Europejska od kilku lat coraz wyraźniej stawia na prawo do naprawy – zarówno w elektronice użytkowej, jak i w sprzęcie profesjonalnym. Nowe regulacje mają wymuszać dostęp do dokumentacji, części zamiennych i systemu w taki sposób, by właściciel sprzętu nie był bezradnym zakładnikiem producenta.
Ważną rolę odgrywają wyroki Trybunału Sprawiedliwości UE, które w kilku sprawach jasno wskazały, iż inżynieria wsteczna i analiza kodu mogą być legalne, jeżeli służą naprawie błędów, zapewnieniu interoperacyjności czy bezpieczeństwa. Samo zaglądanie do systemu nie jest więc przestępstwem, o ile odbywa się w ramach dozwolonych wyjątków prawa autorskiego.
To właśnie o tę granicę toczy się teraz bój. Producent utrzymuje, iż Dragon Sector i SPS przekroczyli ją, naruszając jego prawa autorskie i działając na szkodę spółki. Z kolei środowisko specjalistów od bezpieczeństwa widzi w tej sprawie klasyczny przykład próby zastraszenia, tzw. pozew SLAPP, który ma bardziej wywołać efekt mrożący niż rzeczywiście naprawić jakąkolwiek szkodę.
Jeśli sądy przyznają rację producentowi, może to być zachęta dla innych firm, by równie agresywnie reagowały na każdy przypadek ujawniania wad ich oprogramowania. jeżeli uznają, iż praca hakerów mieści się w ramach dozwolonej inżynierii wstecznej, będzie to istotny precedens wzmacniający prawo do naprawy również w tak wrażliwych sektorach jak kolej.
*Źródło zdjęcia wprowadzającego: Martyn Jandula / Shutterstock