O kybernetické bezpečnosti mluví generální ředitel AŽD Praha Zdeněk Chrdle s opatrností. „Nechci dávat hackerům návod,“ říká. Je ale přesvědčen, že úroveň zabezpečení českých železnic je nadstandardní. Inovace v řízení a zabezpečení železniční infrastruktury testuje AŽD na své experimentální Švestkové dráze, kterou pravidelně nechává napadnout hackery. A její šéf ji každý týden projede vlakem jako strojvedoucí.

Čelí tuzemská železniční doprava kybernetickým útokům?

Podle nařízení Evropské unie, které bohužel platí jen pro některé země, se v Česku dráhy dělí na infrastrukturu, což je u nás Správa železnic, a dopravce. A je třeba nejprve říct, že tím, kdo u nás spravuje infrastrukturu a řídí dopravu, nejsou České dráhy, ale Správa železnic. U Českých drah jako dopravce mohou hackeři napadnout tak maximálně jeden konkrétní vlak tím, že přijdou s notebookem a nějak se nabourají do té sítě, i když ani to si moc nedovedu představit. Ale to se netýká řízení dopravy, to bych víceméně ani nepovažoval za hackerský útok. U Správy železnic je to něco jiného. Ta má pod sebou kromě komerčního provozu také řízení dopravy.

Mohlo by napadení jejich sítě ohrozit bezpečnost na tratích?

Děláme všechno pro to, aby se nemohlo stát, že nějaký hacker způsobí nehodu. Jsou pro to přijaty i určité standardy na úrovni Evropské unie. Filozofie zabezpečovacích zařízení je od samého začátku nastavená tak, že jakmile zařízení zjistí cokoli nestandardního, začne se chovat bezpečněji. Vlaky se zastaví, přejezd jde do výstrahy, všude naskočí červená… Prostě všechno se stane tak, aby to bylo bezpečnější, i když to třeba znamená, že se musí zastavit provoz. Tím chci říct, že když se někdo nedejbože někam vlomí, v nejhorším případě způsobí to, že zastaví dopravu. Data jsou ošetřena na tzv. přenosových cestách, které vedou buď kabelově, nebo vzduchem. Ty první jsou samozřejmě bezpečnější, protože kabel těžko zahackujete. Každopádně jsou to uzavřené systémy, ze kterých jdou informace pouze ven, zvenku nemáte možnost se do nich dostat. Jsou úplně izolované.

Jak se takové zabezpečení testuje?

My na to máme naši Švestkovou dráhu, která slouží jako experimentální trať. Každé dva měsíce ji necháváme napadnout nějakou firmou, která se tomu profesionálně věnuje. Zadání většinou zní: tady máte trať, něco nám tam proveďte. Anebo tu zakázku zacílíme. Teď se třeba soustředíme na přenos informací vzduchem, tak jsme je požádali, aby to zkusili prolomit. Protože nejnapadnutelnější informace jsou ty, které někde vytáhnete z kabelu a přenášíte je vzduchem. To vidíte i ve válce. Když je nějaké ohrožení, hned se vypne GPS, všechno se poblbne, používají se rušiče signálu a podobně. Proto tam, kde nabízíme Správě železnic přenos bezkabelově, musíme daleko víc zabezpečovat informace. Dělá se to takzvanou kryptací, což je způsob šifrování.

Co se těm osloveným hackerským firmám podařilo vám provést?

Nic zásadního. Shodily nám třeba přejezdy do výstrahy. To ale musely udělat tak, že se napíchly fyzicky na ten kabel. Počítačově to neumí napadnout, protože ten systém je uzavřený. Takže vykopaly kabel někde u skříňky a tam se napojily. Nebo přeházely informátor cestujícím. Ale ani v tomto případě do toho nevnikly síťově, musely si vzít štafle a napojit se notebookem na místě.

Jak jste se z takových – byť plánovaných – napadení poučili?

Určitě jsme víc zabezpečili ty objekty. Když se nám vlomí do objektu kabelového stojánku, dáme tam ještě jeden zámek, kamerový systém nebo čidlo. Vede nás to k tomu, že to zdokonalujeme ad absurdum.

A najde se pak pokaždé jiné slabé místo?

Ano. A tím neustále vylepšujeme ty systémy, které pak nabízíme Správě železnic nebo jiným společnostem, teď třeba do Chorvatska. Když jim řekneme, co všechno tady děláme a jak s tím pracujeme, tak je to neskutečně uklidní.

Co je z hlediska kybernetické bezpečnosti nejcitlivější?

V současné době je to systém ETCS, který se ve druhé úrovni přenáší po GSM‑R síti. A jdou tam všechny bezpečnostní informace. Takže tam kdyby se někdo vlomil, mohl by samozřejmě dopravu ohrozit. Ale i tady to funguje stejně: koncové terminály jsou naučené, že když se něco děje, tak to shodí a prostě ten vlak zastaví. Lidé nadávají, ale jsou živí.

V jaké fázi je rozšíření systému ETCS v českých vlacích?

V současné době už je téměř na všech koridorech. Já jsem ale zastáncem toho, aby vedle ETCS fungoval ještě nějaký standardní jednoduchý systém, který by zajistil provoz v případě, že se řídicí systém vypne, přepne nebo ho někdo shodí. Aby ty vlaky jezdily. Třeba pomalu nebo v menším počtu, ale aby jezdily. Protože tady se jedná o kritickou infrastrukturu, kterou musíme provozovat. Bohužel, někteří odpovědní lidé v důležitých funkcích jsou k tomu hluší a vůbec nechtějí, aby tam nějaká alternativa byla. Jsou upnutí k tomu, že tam bude zkrátka jen ETCS a to stačí.

Jak je na tom úroveň kybernetické bezpečnosti u nás?

Musím říct, že tou filozofií zabezpečení železnice na různých izolovaných úrovních jsme proti hackerským útokům hodně odolní. Možná jste například zaregistrovali, že v Polsku došlo letos na jaře k totálnímu výpadku. Vypadlo jim 75 procent sítě. Oni to otevřeně neřekli, ale já si myslím, že to musel být hackerský útok. Samozřejmě to nemohu dokázat, ale vede mě k tomu fakt, že za dva týdny se přijelo celé vedení polských železnic podívat k nám, jak to máme u nás zabezpečené. Přijeli se poučit.

A kam se jezdíte inspirovat vy?

Do Švýcarska nebo do Rakouska, to jsou země, kde to mají dobře udělané. Ale myslím, že na těch důležitých hlavních tratích jsme skutečně na jejich úrovni. Alespoň co se týče techniky a odolnosti. Nějaká standardizovaná pravidla by se měla promítnout do připravované evropské směrnice NIS2. Evropský pohled na zabezpečení železnic by měl být jednotný. Ale já si myslím, že zrovna my jsme v této oblasti hodně daleko a že s tou legislativou nebudeme mít problém.

Jsme na tom dobře ve srovnání s ostatními zeměmi EU?

Co se týče modernizace, je samozřejmě otázka, kolik tratí je v Česku v jaké fázi. Je pravda, že hodně regionálních tratí je pořád zastaralých. Souvisí to s tím, že máme ohromně hustou síť a nemáme tolik peněz všechny ty tratě modernizovat. Pak si někdo stěžuje, kolik tratí tu máme pořád, že je to jako z dob vlády krále Klacka. U těch regionálek to asi platí, ale na tom jsou ostatní evropské země podobně.

Cestující ovšem vidí spíš stav vlaku než zabezpečení. Je to tak?

Jistě. Vy vidíte stav vlaku, ale vlaky nejsou Správy železnic, vlaky patří dopravcům. Zabezpečení, které na první pohled nevidíte, je právě Správy železnic. A už ten fakt, že se ho ještě nikomu nepodařilo opravdu narušit (a já si nedělám iluze, že se o to nikdo neposnažil), o něčem vypovídá. Ani v tom Polsku nikdo neposlal vlaky proti sobě. Jediné, co se stalo, bylo, že všechno spadlo. Celý den nejezdilo nic, ale k žádné nehodě nedošlo. A to je právě ten jednotný pohled na zabezpečovací systémy, který říká: Když se sebemenší věc stane, všechno zastavte. Proto taky vlaky mají zpoždění. Lidé v těch vlacích jsou naštvaní, že mají hodinové zpoždění a nikdo neví proč. On jim to totiž nikdo neřekne. Kdyby jim někdo řekl, že zkrátka někdo utrhl přejezd a ten je nebezpečný, takže radši jsme vlak zastavili, než se to opraví… Tak to devadesát procent lidí pochopí a dá si pivo. Jenže on jim nikdo nic neřekne.

Vlaky mají ale zpoždění skoro pořád. To přece není pokaždé hackerský útok…

To právě vůbec není hackerský útok. Tam stačí, že například někdo přijde k přejezdu a zacloumá závorou. A konec. Vlak nejede. Protože ten systém zjistí, že s tím někdo cloumal, že tam někdo je, že hrozí nebezpečí. A pokud tam není kamera, abychom se na to podívali, tak se zastaví vlaky, dokud tam někdo nedojede a neprovede kontrolu. A pokud tam kamera je, tak se někdo musí podívat, co se tam stalo, a znova to nastartovat. Takže to není jenom o hackerském útoku, ale obecně o bezpečnosti železnice, která je v některých okamžicích podle mě až přezabezpečená. Na úkor spolehlivosti a provozuschopnosti.

Jsou tyto systémy plně automatizované, nebo je tam i nějaký lidský faktor?

Když nepočítám malé lokálky, tedy když mluvíme o těch velkých moderních systémech, tak tam člověk vstupuje jen na úrovni, kdy nemůže ovlivnit bezpečnost. Například může určit, kam vlak přijede a na kterou kolej ho postaví. Ale už není schopen postavit dva vlaky na jednu kolej, to zařízení mu to nedovolí.

Co je největším limitem pro další rozvoj?

Obávám se, že lidé nebudou chtít opustit ten rozhodovací článek. Na naší Švestkové dráze jsme zkoušeli i automatický vlak bez strojvedoucího, ale do toho se nikomu moc nechce. Myslím, že je v tom určitá konzervativnost. A taky je to otázka financí.

Pokud jde o finance, zajistily by neomezené prostředky dokonalé zabezpečení železnic?

Já si nemyslím, že bychom neměli špičkové zabezpečení, to máme. Ale měli bychom ho i na těch regionálních tratích. S tím, že máme hodně hustou síť, samozřejmě souvisí, že nemáme na všech tratích to nejlepší možné zabezpečení. Zabezpečovací zařízení na železnicích je především o penězích. Pro srovnání. Představte si cestu do Chorvatska. Tam teď děláme zabezpečení na trase Hrvatski Leskovac – Karlovac, která je dlouhá padesát kilometrů, a standardní moderní zařízení včetně ETCS pro ni vyjde v přepočtu na jednu miliardu korun. Dovedete si představit, kolik by stálo vybavit takhle všechny naše tratě?

Má na bezpečnost nějaký vliv i to, že u nás přibývá dopravců?

Ano, dopravců je tady asi 160 a jejich množství je samozřejmě problém. Zaprvé kvůli tomu, že se tady jezdí různými vozidly, která i když jsou schválená, jsou v různém technickém stavu. Druhým problémem je, že nejsou přesně definované parametry školení strojvedoucích a dalšího personálu. Nemyslím si, že je to u všech úplně stejné. Ale důležité je, že organizaci vlakové dopravy řídí pro všechny dopravce Správa železnic.

Jsou pro ta školení nějaká jednotná pravidla?

Standardy existují, ale je to především právě na jednotlivých dopravcích. Licence strojvedoucího je evropská, tam dostanete sto otázek ohledně dopravy, techniky, legislativy… Ale potom děláte zkoušky na každou mašinu u konkrétního dopravce. A tam už jsou rozdíly. Navíc když moc nejezdíte, tak je to o to horší. Já jezdím na naší Švestkové dráze a vím, že musím jet každý týden alespoň jednu šichtu, abych nevyšel ze cviku. Protože jakmile z toho vypadnu, třeba jsem pár týdnů na dovolené, tak už je to znát.

Budoucnost železnice

Stáhněte si přílohu v PDF

Máte jako strojvedoucí nad sebou nějakou supervizi?

Mám, jako všichni ostatní. Když si chcete získat důvěru a loajalitu svých zaměstnanců a když máte jít příkladem, musíte mít pokoru a poslouchat svého dispečera. Můžete si třeba myslet, že byste to udělali jinak, ale musíte ho poslechnout.

Jak bude zabezpečení železnic podle vás vypadat za pět let?

Evropa přijala standard ETCS, takže standardem bude ETCS. Nemyslím si ale, že bude možné ho rozšířit na všechny tratě, jak chce ministerstvo dopravy. Na to prostě nebudou peníze. Základní pokrytí bude, budou to koridorové tratě, budou to hlavní tratě, budou to důležité spojnice. Ale na regionální tratě, které chceme nechat v provozu, určitě peníze nebudou. Já bych chtěl, aby na regionálních tratích začaly jezdit automatické vlaky bez strojvůdce, a jako první by tu měly být družicové přenosy, protože u těch regionálek to není tolik náročné na přenos dat. Proto si myslím, že bychom měli začít s těmi regionálkami na nějaké levnější, ale daleko vyšší technické úrovni. Se standardním zajištěním. A bez člověka. Ale je to strašně finančně náročné a stát na to teď nemá.

Článek byl publikován ve speciální příloze HN Budoucnost železnice.