Afera hakerska: Newag chce odszkodowania od Dragon Sector i SPS

Jak twierdzi autor artykułu na stronie Spidersweb Marcin Kusz, w pozwie wobec Dragon Sector (złożonym w warszawskim sądzie) Newag żąda przeszło 6,4 mln zł odszkodowania. Nieco mniejsza jest kwota ujęta w pozwie wobec SPS Mieczkowski (ten pozew trafił do sądu w Gdańsku) – ponad 5,1 mln zł. Zarzuty obejmują łamanie praw autorskich, za jakie producent uznał ingerencje w oprogramowanie, oraz wyrządzenie powodowi szkód wizerunkowych.

Obrona dobrego imienia – czy „efekt mrożący”?

Dziennikarz Spidersweb zwraca uwagę, że sama inżynieria wsteczna i analiza kodu (a na tym właśnie polegały w tej sprawie działania hakerów) nie muszą być przestępstwem. Jak twierdzi, posługiwanie się tymi metodami w celu naprawy urządzeń (tak jak w tym przypadku), usunięcia błędów w oprogramowaniu lub zapewnienia bezpieczeństwa może być legalne, co miały potwierdzić wyroki Trybunału Sprawiedliwości Unii Europejskiej. Jego zdaniem (kolejne) pozwy Newagu przeciw Dragon Sector i SPS mogą być próbą zastraszenia niezależnych serwisów oraz współpracujących z nimi ekspertów (wywołania „efektu mrożącego”).

Sam Newag stoi na stanowisku, że granica dopuszczalnego zakresu ingerencji w kod została w tym przypadku przekroczona. Przyszły wyrok – niezależnie od tego, komu rację przyzna sad – będzie więc precedensem, wpływającym na szerszy, trwający w UE spór o „prawo do naprawy”.

Jak zaczęła się afera?

Afera hakerska wybuchła w grudniu 2023 r. Wcześniej, w czerwcu roku 2022, opisywaliśmy „tajemnicze awarie” elektrycznych zespołów trakcyjnych Impuls Kolei Dolnośląskich. Zarówno w tym, jak i w pozostałych przypadkach tabor produkcji Newagu nie dawał się uruchomić bądź po naprawach w zakładach innych niż Newag, bądź po dłuższym postoju przed naprawą, a czasami nawet podczas jazdy z pasażerami (miało to miejsce w pobliżu konkurencyjnych wobec Newagu zakładów Pesa Mińsk Mazowiecki). Co najmniej jeden pojazd (ED78-010, własność województwa lubuskiego) odzyskał sprawność po pewnym czasie samoczynnie, bez ingerencji zewnętrznej, co specjaliści tłumaczyli błędnie wprowadzoną komendą unieruchamiającą.

Na zlecenie SPS Mieczkowski, który odpowiadał za przeglądu wspomnianych Impulsów KD, sprawą zajęli się hakerzy z grupy Dragon Sector. Efekty swoich prac przedstawili pod koniec roku 2023. Zarzucili wówczas Newagowi wpisanie do oprogramowania komend unieruchamiających pojazd po postoju dłuższym niż 10 dni, a także po znalezieniu się w określonej lokalizacji (w jednym z zakładów naprawczych niezależnych od nowosądeckiej firmy). Specjaliści mieli także odkryć inne warianty, „wyłączające” tabor po osiągnięciu przebiegu miliona kilometrów albo po wymianie określonych podzespołów. Mniej lub bardziej zaawansowany system blokad miała posiadać większość z poddanych kontroli pojazdów Newagu (24 z 29). O wszystkich tych komendach producent miał nie informować właścicieli taboru. Zdaniem hakerów postępował tak w celu nieuczciwego wyeliminowania konkurencji w walce o usługi utrzymania taboru. Eksperci Naukowej i Akademickiej Sieci Komputerowej określili raporty Dragon Sector jako wiarygodne.

Śledztwo trwa. Wciąż nie ma zarzutów

Newag od początku zaprzeczał tym oskarżeniom. Zarząd firmy zarzucił konkurencyjnym zakładom nieuprawnione ingerowanie w kod, podkreślił też, ze to Newag jako pierwszy powiadomił o sprawie organy ścigania. Same przypadki unieruchomienia pojazdów miały zaś – według firmy – wynikać z niekompetencji konkurencyjnych zakładów.

Sprawa stała się przedmiotem śledztwa prokuratury oraz postępowania Urzędu Ochrony Konkurencji i Konsumentów, a także tematem posiedzenia Parlamentarnego Zespołu ds. Walki z Wykluczeniem Transportowym. Na razie nikomu nie postawiono formalnych zarzutów.