Od niedzieli krajowe i zagraniczne media wałkują temat „ataku na polską infrastrukturę krytyczną” w postaci nieautoryzowanego zatrzymywania pociągów. Temat sygnału Radio-Stop jest dość ciekawy – przyjrzyjmy się mu zatem bliżej.

Według wielu serwisów informacyjnych w nocy z 25 na 26 sierpnia 2023 w okolicach Szczecina nastąpiło nieuprawnione zatrzymanie pociągów za pomocą systemu Radio-Stop. W kolejnych dniach do podobnych przypadków dochodziło także w innych regionach kraju. Jednocześnie odnotowano wiele różnych problemów na kolei: wykolejenia pociągów, wjazdy na niewłaściwy tor, zderzenia i inne zbiegi okoliczności, które ostatnio zdarzają się nadzwyczaj często (albo może podobnie
często, lecz dowiadujemy się o nich częściej z mediów). Prasa prześciga się w sensacyjnych stwierdzeniach typu „włamanie na kolejową częstotliwość”, lecz brak jest szerszego kontekstu. Naprawmy to. Na początek trochę historii.

Katastrofa pod Otłoczynem

19 sierpnia 1980 około godziny 4:20 ze stacji kolejowej Otłoczyn bez zezwolenia i po nieprzygotowanej dla niego drodze przebiegu odjechał pociąg towarowy nr 11599. Maszynista uruchomił pociąg, minął sygnał Stój i wjechał na tor przeznaczony dla przeciwnego kierunku ruchu z powodu rozprucia zwrotnicy. W tym samym czasie o godzinie 4:18 ze stacji Toruń Główny odjechał opóźniony pociąg osobowy nr 5130 do Łodzi Kaliskiej, po tym samym torze. Dyżurni okolicznych stacji uświadomili sobie, że pociągi są na tym samym torze i że dojdzie do zderzenia. Niestety nie mieli środków, aby zapobiec zderzeniu. O godzinie 4:30 pod miejscowością Otłoczyn miała miejsce największa katastrofa w historii polskich kolei. Zginęło 67 osób, 64 zostały ranne.

Czym jest system Radio-Stop?

Po katastrofie w Otłoczynie w każdym pociągu zainstalowano radiotelefon na pasmo UKF (częstotliwości około 150 MHz) w celu umożliwienia łączności głosowej. Do radiotelefonu dodano dodatkowe urządzenie, które dekoduje odpowiednią sekwencję trzech tonów i w przypadku jej wystąpienia aktywuje SHP – System Hamowania Pojazdu. To rozwiązanie nazywa się obecnie Radio-Stop. Wdrażano je w okolicy roku 1987. Dzięki temu systemowi dowolny maszynista, dróżnik lub inny uczestnik kolejowej sieci łączności radiowej jest w stanie zatrzymać wszystkie pociągi w zasięgu łączności radiowej. Wdrożenie powszechnej łączności na kolei i systemu Radio-Stop znacząco poprawiło bezpieczeństwo i przyczyniło się do uratowania wielu istnień ludzkich. Na owe czasu było to najlepsze możliwe rozwiązanie.

Czy system Radio-Stop jest bezpieczny?

Wedle artykułu z roku 1989 jednym z zastrzeżeń zgłaszanych przez wczesnych użytkowników systemu było to, że „wśród kolejarzy znajdą się dowcipnisie, którzy – dla zabawy – zatamują ruch w promieniu rozchodzenia się fali”. Widać że analiza ryzyka tego systemu była wykonana i w momencie jego wdrożenia w latach 80. również widziano możliwość jego nadużyć. Dobrą analogią jest porównanie tego systemu z systemami otwierania samochodów za pomocą pilota radiowego. W latach 90. stosowane u nas były piloty ze stałym kodem. Kod ten można było odebrać i wysłać ponownie, co znacznie ułatwiało kradzieże samochodów. Nawet jeśli ktoś nie znał kodu do konkretnego samochodu, mógł próbować nadawać losowe kombinacje w okolicy parkingu z dużą liczbą samochodów i mieć nadzieję, że jakiś samochód się otworzy. Aby zapobiec temu oczywistemu problemowi, zastosowano piloty ze zmiennym kodem (i tu też nie obyło się bez problemów, przykładowo bardzo popularny algorytm KeeLoq ma znane podatności).

Wedle analogii z pilotami samochodowymi, system Radio-Stop jest podobny do pilota ze stałym kodem, takim samym do każdego samochodu w Polsce. Nikt o zdrowych zmysłach nie stosowałby takich zabezpieczeń w swoim samochodzie, nawet w latach 90. Na dokładkę częstotliwości trzech tonów, powodujących zatrzymanie pociągów, są opisane jawnie w ogólnodostępnej dokumentacji kolejowych systemów łączności, podobnie jak częstotliwości, na których powinny być one nadawane. W przypadku braku dokumentacji częstotliwości nadajnika i tonów można ustalić również za pomocą nasłuchu łączności kolejowej. Częstotliwości tonów można również poznać, analizując filmy przedstawiające działanie systemu Radio-Stop dostępne np. w serwisie YouTube. Sygnał Radio-Stop w formie pliku mp3 znajdował się także w kodzie jednego z kolejowych symulatorów – trudno więc twierdzić, że pozostaje on tajemnicą.

Jak system Radio-Stop można nadużyć?

System Radio-Stop jest bardzo prostym systemem. Od początku jego użytkownicy obawiali się jego nadużyć. Do uruchomienia wystarczy jedynie radiotelefon nadający w emisji FM w paśmie kolejowym (około 150 MHz) i nadanie odpowiedniej sekwencji tonów.

Podczas analizy bezpieczeństwa systemu warto jest określić również koszt wykorzystania danej podatności. Radiotelefon o mocy rzędu 5 W można kupić za około 100 zł. Wcześniej nagraną (lub wygenerowaną) sekwencję tonów można odtworzyć np. z telefonu. W celu zwiększenia zasięgu można wykonać (lub kupić) dodatkową antenę, co podniesie koszt do paruset złotych. Jak widać, nie jest to ani szczególnie drogie, ani skomplikowane.

W wariancie maksymalnym takiego ataku, jeśli atakujący dysponowałby środkami większymi niż 100 zł, mógłby wynająć samolot typu np. Cessna. W nim mógłby umieścić źródło zasilania (najprościej zastosować akumulatory samochodowe i UPS o mocy paru kVA) oraz wzmacniacz o mocy paruset watów na pasmo krótkofalarskie 2m (oryginalnie takie wzmacniacze działają w paśmie 144-146 MHz lub 144-148 MHz, ale częstotliwość 150 MHz jest bliska ich zakresowi pracy, więc oferują podobną moc wyjściową). Nadawanie takiego sygnału z pułapu rzędu paru kilometrów umożliwiłoby objęcie sygnałem całego kraju i okolic. Nie wiem, czy taki scenariusz ataku jest w ogóle rozważany przez nasze służby (mam nadzieję, że tak).

Czy system Radio-Stop był nadużywany w przeszłości?

Jak często dochodzi do nieautoryzowanego użycia sygnału Radio-Stop? Kolejowe statystyki mówią o 500-700 przypadkach rocznie w ostatnich latach. Zwykle sprawcy pozostają niewykryci, ale gdy organy ścigania trafią na ich trop, a media sprawę nagłośnią, powoduje to swoisty efekt Streisand i grono naśladowców nagle rośnie. Niewykluczone, że z podobnym zjawiskiem mamy do czynienia także w tej chwili.

Środowiska zajmujące się monitorowaniem systemów radiowych kolei i łączności służb pisały o tym od dawna. Jest to to wiedza powszechna, znana również naszym decydentom. Na szczęście kolej ma od dawien dawna wysoką kulturę zarządzania ryzykiem i opracowania procedur na każdą okazję. Nawet w przypadku fałszywych sygnałów i nieprawidłowego działania urządzeń potencjalnie można przejąć dowodzenie i wydać rozkaz, który odwołuje inne rozkazy i sygnały. Niestety nie wiemy, czy ten system zarządzania jest w stanie poradzić sobie z zatrzymaniem pociągów na terenie całego kraju naraz.

Czy są alternatywy dla systemu Radio-Stop?

Oczywiście! Od wielu lat w Polsce ma być wdrożony Europejski System Zarządzania Ruchem Kolejowym (ERTMS), w tym łączności radiowej GSM-R. Niezależnie od potencjalnych problemów z bezpieczeństwem systemu GSM-R, wykorzystanie ich jest znacznie trudniejsze niż tylko nadanie nagranej sekwencji tonów (tak jak w przypadku Radio-Stop). Niestety prace nad wdrożeniem GSM-R są coraz bardziej opóźnione. Z realizacji wycofują się kolejne firmy. Żądania odszkodowań od kolei wynoszą obecnie około 3 mld zł, co przekracza wartość kontraktu. Z powodu opóźnień najprawdopodobniej stracimy dofinansowanie tego projektu z UE.

Wróćmy do meritum: problemów z zatrzymywaniem pociągów pod Szczecinem. Wedle artykułów prasowych ktoś zatrzymywał pociągi za pomocą systemu Radio-Stop, jednocześnie nadając w przerwach przemówienia Putina i hymn Rosji. Czy oznacza to kierunek pochodzenia sprawców lub inspiratorów, czy tylko poziom upojenia alkoholowego autorów „żartu” (niejeden z zatrzymywanych w przeszłości żartownisiów czynów dokonywał „pod wpływem”)? Wątek rosyjski warto wziąć pod uwagę, lecz należy pamiętać, że kwestia atrybucji jest tak samo problematyczna jak w przypadku kampanii typowo „informatycznych”. Bardzo dobrze że zaangażowano ABW i Policję. Mam nadzieję, że dochodzenie znajdzie sprawców tego zdarzenia, czyli osoby, które wstrzymywały migrację polskich kolei na system, który ma w ogóle jakieś zabezpieczenia (system ERTMS, w tym GSM-R). Należałoby osądzić, czy osoby, które swoim działaniem lub zaniechaniem wspierały system komunikacji, który od lat 80. jest uznany za niebezpieczny, nie są winne sabotażu infrastruktury krytycznej Polski.

Konkluzja

Czy istnieje system, który zapewniałby większe bezpieczeństwo łączności kolejowej? Tak, jest nim system GSM-R.

Czy osoby odpowiedzialne za wygaszenie obecnego (podatnego) systemu wykonały swoją pracę? Nie, nie ma obecnie systemu GSM-R używanego przez wszystkie polskie pociągi.

Czy obecnie używany system łączności jest podatny na znane powszechnie błędy? Tak, świadomość tych błędów sięga lat 80.

Mam nadzieję że poza szukaniem zewnętrznych podmiotów, audyt skupi się na tym, kto dopuścił do obecnej sytuacji.