Під час травневої візити до Нового Сонча прем’єр-міністр Матеуш Моравецький з явним захопленням говорив про Newag як про буквальний і переносний локомотив розвитку. Зустріч із колективом, огляд виробничих цехів та розмови про майбутнє польських поїздів несли оптимістичне послання про силу національної промисловості. Три дні раніше на засіданні колегії з питань кібербезпеки пролунали перші серйозні сигнали про тривожні практики в програмному забезпеченні тих самих транспортних засобів, які прем’єр так хвалив.
Справа вибухнула публічно лише в грудні 2023 року. Група етичних хакерів Dragon Sector виявила, що в популярних складах Impuls застосовано механізми, які блокують запуск поїзда після ремонту в незалежному цеху. Звіти про це надійшли до CERT Polska ще в грудні 2022 року, а в травні 2023-го прем’єра особисто поінформували про них. Візит на фабрику відбувся саме в той момент, коли влада вже мала відомості про звинувачення.
Ця історія показує зіткнення двох реальностей: гордості польською технічною думкою та інженерним успіхом Нового Сонча, а також серйозних питань про межі захисту інтелектуальної власності, чесну конкуренцію на ринку сервісного обслуговування та цифрову безпеку критичної інфраструктури. Для пасажирів це означало конкретні ускладнення — затримки, скорочені склади та замісні автобуси. Для галузі — початок тривалого судового процесу, який триває й досі.
Newag — гордість Сондеччини та важливий гравець на польській залізниці
Newag S.A. з Нового Сонча — це одна з небагатьох польських компаній, яка успішно конкурує на ринку виробництва та модернізації залізничного рухомого складу. Фірма з понадстолітньою традицією (корені сягають 1876 року) спеціалізується на електричних тягових складах серії Impuls, електричних та дизельних локомотивах, а також модернізаціях старішого складу. Impuls — сучасні, динамічні та комфортні регіональні склади — курсують, зокрема, для Нижньосілезьких залізниць, Polregio чи Мазовецьких залізниць, перевозячи щодня тисячі пасажирів.
Завод у Новому Сончі — це не лише монтажні цехи. Це також сучасні проєктні та інженерні бюро, де створюють рішення, адаптовані до польських умов — від суворих зим до специфіки регіональних ліній. Newag працевлаштовує сотні людей у регіоні з традиційно промисловим характером, забезпечуючи стабільні робочі місця та розвиваючи місцевий ланцюг постачань. В останні роки компанія також розвивала експорт і міжнародну співпрацю, хоча найбільші успіхи здобувала на внутрішньому ринку завдяки замовленням від місцевих перевізників.
Для багатьох спостерігачів Newag став символом можливої реіндустріалізації Польщі — прикладом, що місцева фірма може проєктувати та будувати сучасний рухомий склад, а не лише монтувати закордонні компоненти. Моравецький під час візитів підкреслював саме цей аспект: польський капітал, польську технічну думку та експортний потенціал.
Дві візити Моравецького — послідовність послання про польську промисловість
Перша значна візита відбулася у вересні 2016 року. Тодішній віцепрем’єр і міністр розвитку Матеуш Моравецький приїхав до Нового Сонча просто з Економічного форуму в Криниці. Він оглянув проєктні бюро, зустрівся з власником Збігневом Якубасом і президентом Збігневом Конєчком. Тоді він підкреслював захоплення польською технічною думкою та заявляв про підтримку в побудові програм розвитку, включно з експортом на ринки Європейського Союзу та Азії. Newag презентували як зразковий приклад використання місцевих виробничих можливостей.
Сім років потому, 18 травня 2023 року, Моравецький приїхав уже як прем’єр-міністр. Візита мала господарський характер. Прем’єр зустрівся з працівниками, вітав їх і колишні колективи зі створенням «гордості півдня Польщі». Він повторив метафору локомотива розвитку — цього разу в буквальному і переносному сенсі. Анонсував допомогу в гомологації багатосистемних локомотивів та підтримку в отриманні подальших замовлень. Підкреслював значення робочих місць і роль компанії в регіоні.
Атмосфера зустрічі була однозначно позитивною. Моравецький хвалив трансформацію, яку Newag пройшов у попередніх десятиліттях, і висловлював віру в подальший розвиток. Ніхто тоді публічно не згадував про проблеми з програмним забезпеченням, які вже циркулювали в звітах служб.
Травень 2023 — між ентузіазмом та тривожними сигналами
Хронологія тих днів важлива. 15 травня 2023 року відбулося засідання Колегії з питань кібербезпеки. Тодішній міністр цифровізації Януш Цєшинський поінформував прем’єра про справу, повідомлену хакерами з Dragon Sector. За словами Цєшинського, Моравецький не знав раніше і був дуже здивований. Три дні потому прем’єр уже був у Новому Сончі.
Newag своєю чергою в квітні 2023 року подав власне повідомлення до ABW і SKW, сигналізуючи про можливі втручання третіх осіб у системи керування поїздами та попереджаючи про потенційні гібридні загрози. Компанія подавала себе як жертву можливого нападу.
Візита прем’єра відбулася отже в специфічний момент — коли служби вже мали відомості про звинувачення на адресу Newagu, а сама компанія повідомляла про занепокоєння безпекою своїх транспортних засобів. Офіційне послання залишалося однак винятково позитивним. Моравецький вихваляв компанію і обіцяв підтримку. Джерела, близькі до Newagu, пізніше припускали, що прем’єр дізнався про «можливість хакерської атаки» саме під час візити і був здивований.
Блокування в Impuls — що саме виявили хакери з Dragon Sector
Справа, яка пізніше домінувала в заголовках, почалася значно раніше. Навесні 2022 року Нижньосілезькі залізниці повідомили про проблему з кількома складами Impuls після ремонтів в незалежному цеху Serwis Pojazdów Szynowych (SPS) в Іновроцлаві. Поїзди були технічно справні, але не хотіли рушати. Newag стверджував, що це питання процедур або відсутності ліцензії.
SPS найняла групу Dragon Sector — відомих польських етичних хакерів, які спеціалізуються на CTF та аналізі безпеки. Команда (зокрема, Міхал «Redford» Ковальчик, Серґіуш «q3k» Базанський і Куба «PanKleszcz» Стемпневич) протягом тижнів аналізувала мікропрограми бортових контролерів. Вони виявили кілька умовних механізмів у програмному забезпеченні:
- Перевірка місця сервісу на основі координат GPS або історії компонентів — якщо поїзд перебував надто довго в неавторизованому цеху, блокування активувалося.
- Верифікація серійних номерів замінених частин — заміна на компоненти поза авторизованим ланцюгом могла знерухомити склад.
- Часові умови — наприклад, помилки компресора, що з’являлися після перевищення певної дати.
Блокування не стосувалися систем безпеки руху (гальма, керування рухом), але унеможливлювали нормальну експлуатацію. Хакери навчилися обходити їх шляхом редагування прапорців у пам’яті NVRAM або послідовностей кнопок на пульті машиніста — без модифікації самого бінарного коду. Зрештою вони розблокували десятки складів, створивши інструмент, що дозволяв швидко відновити працездатність.
Dragon Sector повідомив про відкриття до CERT Polska в грудні 2022 року. Аналітики CERT визнали докази переконливими і поінформували відповідні служби. Справа однак не набрала обертів аж до публічної конференції в грудні 2023 року.
Реакція Newagu, позов і судовий процес, що триває до 2026 року
Newag послідовно заперечував цілеспрямоване встановлення «дефектного» програмного забезпечення. Компанія стверджувала, що механізми мають захисний характер — запобігають неавторизованим модифікаціям і дбають про безпеку. Підкреслювала також, що сервіс становить невелику частину її діяльності, а ліцензії на програмне забезпечення видаються на стандартних ринкових умовах.
Після оприлюднення звіту Dragon Sector Newag подав позов проти хакерів і SPS, звинувачуючи в порушенні авторських прав на програмне забезпечення, неправомірних втручаннях і шкоді репутації. Вимагав високої компенсації. У ході процесу компанія частково пом’якшила звинувачення — визнала, зокрема, що хакери не встановлювали модифіковане програмне забезпечення. Процес у Окружному суді у Варшаві триває з серпня 2024 року. До лютого 2025 відбулося чотири засідання, деякі свідчення частково засекретили (суд відхилив клопотання про повне засекречення). Справа залишається відкритою на початку 2026 року.
Паралельно тривало прокурорське провадження (зокрема, Регіональна прокуратура в Кракові) щодо неправомірної зміни записів комп’ютерних даних у поїздах. Newag і надалі стверджує, що це конкуренція могла втрутитися в системи, тоді як хакери та незалежні експерти вказують на цілеспрямовані антиконкурентні механізми.
Ширший контекст — що ця історія говорить про польську залізницю
Скандал із блокуваннями виявив кілька важливих напружень. По-перше, ринок сервісу рухомого складу є прибутковим — незалежні цехи часто пропонують нижчі ціни, ніж авторизований сервіс виробника. Механізми блокування ускладнювали перевізникам використання дешевшої альтернативи, що могло порушувати принципи чесної конкуренції.
По-друге, поїзди — це критична інфраструктура. Навіть якщо блокування не впливали безпосередньо на безпеку руху, факт, що бортове програмне забезпечення містило приховані умови, які знерухомлюють транспортний засіб, викликає питання про прозорість і аудитованість систем керування. В епоху зростаючої цифровізації залізниць такі випадки показують, наскільки важливим є незалежне дослідження програмного забезпечення.
По-третє, роль держави. Служби отримали сигнали ще наприкінці 2022 року. Засідання колегії кібербезпеки відбулося лише в травні 2023. Візита прем’єра в Newagu припала через три дні. До публічного оприлюднення дійшло лише за рік. Це породжує питання про швидкість реакції інституцій на сигнали щодо практик, що впливають на сотні тисяч пасажирів щодня.
Для пасажирів наслідки були відчутні відразу — знерухомлені склади означали гірші розклади, тисняву та замісні засоби транспорту. Для перевізників — договірні штрафи, фінансові втрати та невизначеність щодо подальшого обслуговування флоту.
Що далі з Newag і польською залізницею?
Newag залишається важливим виробником і роботодавцем у регіоні. Impuls і далі курсують, а після втручання хакерів багато складів повернулися до нормальної експлуатації. Компанія продовжує розвиток — модернізує рухомий склад, працює над новими конструкціями та намагається утримати позицію на ринку.
Судовий процес із Dragon Sector і SPS показує однак, що спір про межі між захистом інтелектуальної власності та суспільним інтересом, а також чесною конкуренцією, далекий від вирішення. Незалежно від остаточного вироку, справа вже вплинула на дискусію про потребу більшої прозорості програмного забезпечення в залізничних транспортних засобах та про роль незалежних аудитів безпеки.
Моравецький у Newagu в травні 2023 року символізував віру в польську промисловість. Кілька місяців потому та сама компанія стала центром однієї з найбільших дебатів про бізнес-етику та кібербезпеку на польській залізниці за останні роки. Ця двоїстість — технологічний успіх і суперечки навколо сервісних практик — залишається частиною спадщини тієї візити та всієї історії Newagu.
Дані та висновки походять, зокрема, зі звітів CERT Polska, публікацій Onetu від грудня 2023 року та репортажів із судового процесу, що триває в 2024–2025 роках.