15° Winieta pogoda
23° / 9° C
Życie Warszawy

Suwerenność cyfrowa stolicy – wybór Warszawy

Publikacja: 12.06.2025 10:00

Chińskie autobusy elektryczne Yutong, obecne we flocie stołecznego MZA, rzeczywiście mogą stanowić r

Chińskie autobusy elektryczne Yutong, obecne we flocie stołecznego MZA, rzeczywiście mogą stanowić realne zagrożenie dla bezpieczeństwa i funkcjonowania miasta

Foto: MZA Warszawa

Kacper Komaiszko
O zagrożenia wynikające z obecności na stołecznych ulicach chińskich autobusów elektrycznych Yutong „Życie Warszawy” zapytało Michała Matuszczyka, specjalistę w dziedzinie IT i emerytowanego funkcjonariusza polskich służb specjalnych odpowiedzialnego za komórkę cyberbezpieczeństwa.

Chińskie autobusy Yutong, które pojawiły się w warszawskim systemie transportu publicznego, wyróżniają się nowoczesnymi rozwiązaniami technologicznymi i niską emisją spalin. To niewątpliwie ważny krok w kierunku zrównoważonego transportu i ekologicznej przyszłości. Jednakże, jak wynika z analizy Michała Matuszczyka, bez odpowiednich zabezpieczeń mogą one stać się nie tylko innowacją, ale również źródłem zagrożenia dla prywatności obywateli, stabilności systemu transportowego oraz dla cyberbezpieczeństwa i suwerenności cyfrowej stolicy.

„Warszawa stoi dziś przed wyborem: czy pozostanie wyłącznie odbiorcą technologii, czy też zadba o pełną kontrolę nad jej funkcjonowaniem. Nie sposób pominąć pytań o wpływ Yutongów na bezpieczeństwo informacyjne oraz suwerenność cyfrową miasta” – uważa Matuszczyk. 

Autobus to dziś nie tylko środek transportu, ale element infrastruktury Internetu Rzeczy (IoT)

Specjalista ds. cyberbezpieczeństwa przedstawił najważniejsze zagrożenia związane z eksploatacją takich pojazdów oraz propozycje działań zaradczych, opierając się na doświadczeniach międzynarodowych i konkretnych incydentach, które miały miejsce w ostatnich latach. Okazuje się, że potencjalne cele ataków mogą wykraczać daleko poza drzwi autobusów „made in China”.

Autobusy Yutong mogą rejestrować nasze dane

Michał Matuszczyk nie pozostawia złudzeń - systemy autobusów Yutong są źródłem poważnych obaw. Jak podkreśla, „autobusy nowej generacji, takie jak Yutong, wyposażone są w zaawansowane systemy telematyczne, które mogą rejestrować i przesyłać dane obejmujące lokalizację GPS i trasy przejazdu, zużycie energii i parametry jazdy, liczbę pasażerów (np. na podstawie czujników wejścia), obraz z kamer monitoringu wizyjnego oraz dane z systemów płatności lub identyfikatorów pasażerskich”. Najbardziej alarmujące jest to, że w sytuacji, gdy transmisja tych danych odbywa się do zewnętrznych, niezależnie kontrolowanych serwerów, np. chmury producenta w Chinach, istnieje realne ryzyko ich niewłaściwego przetwarzania. Ekspert zaznacza, że zebrane informacje mogą posłużyć do analizowania schematów ruchu miejskiego, profili mobilności mieszkańców czy identyfikacji newralgicznych punktów infrastruktury Warszawy, co jest bezpośrednim zagrożeniem dla suwerenności informacyjnej stolicy. Co więcej, emerytowany funkcjonariusz polskich służb specjalnych ostrzega, że „dane telemetryczne pozyskane przez obcy podmiot, mogą umożliwić modelowanie krytycznych zależności w funkcjonowaniu miasta”.

Możliwość przejęcia kontroli nad flotą miejską przez podmiot zewnętrzny może mieć katastrofalne skutki.

Warszawa narażona na paraliż

Zdaniem eksperta, należy wziąć pod uwagę, czy zdalna kontrola nad flotą stanowi jedynie funkcję serwisową, czy też potencjalne narzędzie sabotażu. - Jednym z najpoważniejszych zagrożeń jest możliwość zdalnego zatrzymania pojazdu. Choć funkcjonalność ta bywa wdrażana w celach diagnostycznych, praktyka pokazuje, że może zostać nadużyta. W Chinach funkcja zdalnego wyłączenia pojazdu była testowana przez producentów autobusów, w tym Yutong, jako element systemu „smart fleet management” – mówi Matuszczyk.

Jak wskazuje, możliwość przejęcia kontroli nad flotą miejską przez podmiot zewnętrzny może mieć katastrofalne skutki. Przypadki takie nie są hipotetyczne. W Niemczech w 2022 r. celowy sabotaż światłowodów systemu GSM-R doprowadził do paraliżu ruchu kolejowego w północnej części kraju. W Polsce, w 2023 roku, nieautoryzowane nadania sygnału „radiostop” zatrzymały pociągi pasażerskie i towarowe. W Chinach natomiast w latach 2020–2022 testowano możliwość zdalnego blokowania autobusów przez producenta z poziomu chmury co, choć deklarowane jako funkcja serwisowa, budzi poważne wątpliwości w kontekście niezależności operacyjnej.

Zagrożone systemy miejskie

Michał Matuszczyk tłumaczy, że „autobus to dziś nie tylko środek transportu, ale element infrastruktury Internetu Rzeczy (IoT)”, co czyni go podatnym na szereg cyberataków. Wśród zagrożeń ekspert wymienia „ataki na magistralę CAN (wewnętrzną sieć komunikacyjną sterującą komponentami pojazdu), przejęcie komunikacji telemetrycznej (LTE, Wi-Fi), nieautoryzowane aktualizacje oprogramowania (OTA) oraz manipulację danymi lub paraliż systemów pokładowych”.

Cele ataków mogą wykraczać poza sam pojazd, oddziałując na inne systemy miejskie, takie jak sygnalizacja świetlna, systemy informacji pasażerskiej czy aplikacje do rezerwacji przejazdów. Michał Matuszczyk podkreśla, że „w warunkach zagrożenia hybrydowego, transport publiczny może stać się pierwszym celem działań destabilizacyjnych”. Ekspert przywołuje przykład cyberataków wymierzonych w infrastrukturę kolejową na Ukrainie w 2022 roku, których celem była destabilizacja logistyki wojskowej i cywilnej, co „pokazuje, że infrastruktura transportowa staje się coraz częściej elementem działań cybernetycznych w czasie pokoju i wojny”.

Prywatność pasażerów: Kto widzi nasze twarze i trasy?

Także prywatność pasażerów jest zagrożona, choć, jak zdaniem eksperta, „w ograniczonym zakresie”. Wciąż jednak systemy CCTV oraz aplikacje płatnicze mogą rejestrować dane osobowe, np. wizerunek twarzy, godziny przejazdu, lokalizację.

Procedury zakupowe powinny przewidywać ocenę ryzyka łańcucha dostaw oraz obowiązek lokalizacji danych i kontrolę nad firmware’em

Największy problem pojawia się w przypadku braku przejrzystości. „O ile nie ma przejrzystości w zakresie przetwarzania tych informacji, zwłaszcza gdy producent systemu ma siedzibę poza Unią Europejską, ryzyko naruszenia RODO jest realne” – ostrzega ekspert. Dodatkowo, „zagrożenie pojawia się, gdy dane wideo są przechowywane lub transmitowane bez wiedzy operatora, co może prowadzić do nieautoryzowanego profilowania obywateli lub śledzenia ich aktywności bez zgody”.

Zaniedbania proceduralne. Gdzie popełniono błędy?

Zaniedbania po stronie miasta mogły się pojawić już na etapie składania zamówień. „Brak zapisów przetargowych dotyczących bezpieczeństwa IT, braku zdalnej ingerencji producenta czy wymagań audytu kodu źródłowego, to potencjalne błędy proceduralne” – ocenia ekspert.

Matuszczyk podkreśla również kluczową kwestię, jaką jest status transportu publicznego. Zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa, infrastruktura transportowa może być uznana za element infrastruktury krytycznej, a więc podlegający szczególnej ochronie. Ekspert jasno stwierdza, że „sam zakup pojazdu elektrycznego nie może odbywać się w oderwaniu od kwestii cyberbezpieczeństwa”. Wskazuje, że „procedury zakupowe powinny przewidywać ocenę ryzyka łańcucha dostaw oraz obowiązek lokalizacji danych i kontrolę nad firmware’em”.

Odzyskiwanie kontroli: Możliwe rozwiązania i ich cena

Czy jest wyjście z tej trudnej sytuacji, aby odzyskać pełną kontrolę? Michał Matuszczyk odpowiada twierdząco: „Tak, istnieją rozwiązania umożliwiające odzyskanie pełnej kontroli nad oprogramowaniem oraz transmisją danych w pojazdach. Jednak ich wdrożenie wymaga zdecydowanych działań organizacyjnych, prawnych i technicznych”.

Wśród konkretnych propozycji ekspert wymienia konieczność „pełnego odcięcia systemów telematycznych od chmury producenta i zastąpienia ich lokalnym rozwiązaniem do zarządzania flotą”. Matuszczyk sugeruje również „wdrożenie własnego oprogramowania zarządzającego z interfejsem dostosowanym do polskich warunków prawnych.

Zebrane informacje mogą posłużyć do analizowania schematów ruchu miejskiego, profili mobilności mieszkańców czy identyfikacji newralgicznych punktów infrastruktury Warszawy

Koszt wdrożenia takich zabezpieczeń, jak szacuje ekspert, może być znaczny. „Dla jednej jednostki koszt może wynosić od 30 do 80 tys. zł, w zależności od poziomu ingerencji, konieczności wymiany komponentów oraz dostępności dokumentacji technicznej”. W przypadku całej floty, mowa jest o milionach złotych. Jednakże, ekspert twierdzi, że warto zainwestować. „Biorąc pod uwagę, że mowa o pojazdach funkcjonujących w ramach infrastruktury krytycznej miasta, inwestycja ta jest porównywalna do kosztów modernizacji systemów IT w sektorze energetycznym czy kolejowym, i stanowi realny wkład w bezpieczeństwo cyfrowe stolicy”.

Co dalej? Strategia bezpieczeństwa dla Warszawy

Michał Matuszczyk przedstawia klarowne rekomendacje dla władz miasta, dzieląc je na działania pilne i strategiczne.

Krótkoterminowo, należy „przeprowadzić niezależny audyt systemów IT w autobusach Yutong” oraz „wdrożyć systemy bezpieczeństwa. Ekspert wskazuje na pilną potrzebę „zablokowania wszelkich kanałów zdalnego dostępu producenta”, a także „analizę tras transmisji danych i weryfikację zgodności z RODO”. Ważne jest także „segmentowanie sieci autobusowej od systemów centralnych miasta”.

Długoterminowo, specjalista proponuje stworzenie „miejskiej strategii Cyberbezpieczne Smart City’” i „utworzenie jednostki nadzorującej bezpieczeństwo IT floty. Konieczne jest „wprowadzenie wymogu pełnej jawności systemów informatycznych w zamówieniach publicznych”. Ekspert postuluje również „budowę własnego systemu zarządzania flotą opartego o polskie lub europejskie komponenty”, „rozwój kompetencji inspekcyjnych w zakresie cyberaudytów pojazdów i ich infrastruktury”, a także „tworzenie dokumentacji przetargowych w oparciu o zasadę cybersecurity by design’” i „promowanie producentów z pełną jawnością kodu i infrastrukturą serwerową w UE”.

Słowa Michała Matuszczyka są dzwonkiem alarmowym dla decydentów i powinny zaniepokoić każdego mieszkańca Warszawy. Czy stolica Polski sprosta wyzwaniu jakim jest bezpieczeństwo informacyjne miasta, aby zapewnić właściwą ochronę mieszkańcom i infrastrukturze?

© Licencja na publikację © ℗ Wszystkie prawa zastrzeżone

Źródło: zyciewarszawy.pl

W ramach inwestycji przebudowano również skrzyżowanie ulic Domaniewskiej i Suwak
z perpsektywy siodełka

Nowa droga rowerowa na Służewcu

Parada Równości rozpocznie się około godziny 14. W tym roku ominie MDM.
Komunikacja

Parada Równości przejdzie ulicami Śródmieścia. Autobusy pojadą objazdami

W tunelu są dwa pasy ruchu, chodnik i ścieżka rowerowa
Komunikacja

Kolejarze otworzyli drugi tunel pod torami w Sulejówku

Nowe Centrum Warszawy – węższa i zielona Marszałkowska
nowe centrum

Startuje przebudowa Marszałkowskiej. Będą utrudnienia w ruchu

Prace rozpoczną się w najbliższy piątek, 13 czerwca
remonty

Prace drogowe w trzech dzielnicach. Będą utrudnienia

Korekta będzie ważna do 30 sierpnia
kolej

Zmiana rozkładu jazdy pociągów Kolei Mazowieckich

Kierowcy nie przejadą aleją Rzeczypospolitej do centrum, od Klimczaka do alei Wilanowskiej.
remont

Utrudnienia w ruchu na św. Bonifacego, Szczęśliwickiej i al. Rzeczypospolitej

Pociąg „Słoneczny” będzie kursował nad morze od 28 czerwca
kolej

„Słoneczny” i „Słoneczny BIS” wyruszą nad morze

© Copyright by GREMI MEDIA SA