Klikając „Akceptuj wszystkie pliki cookie”, zgadzasz się na przechowywanie plików cookie na swoim urządzeniu w celu ułatwienia nawigacji po stronie, analizy korzystania ze strony oraz wspierania naszych działań marketingowych. Zobacz naszą Politykę prywatności, aby uzyskać więcej informacji.
PreferencjeOdrzućAkceptuj
Powrót na stronę główną bloga
Raport

Awaria Porsche w Rosji

Autor/ka
Renata Davidson
ikona facebook
ikona linkedin

Ekspertka zarządzania ryzykiem i ciągłością działania

Analiza SPOF

28 listopada 2025 r. kierowcy Porsche zaczęli lawinowo zgłaszać problemy związane z nieprawidłowym działaniem aut. Samochodów nie można było uruchomić, mimo sprawnych akumulatorów, a w niektórych przypadkach samochód umożliwiał uruchomienie silnika, który po kilku chwilach zaczynał tracić moc i gasł – nawet w trakcie jazdy.  

Właściciele Porsche w Rosji muszą uciekać się do "chałupniczych" metod fizycznego wycinania modułów VTS lub prób ich hakowania, aby odzyskać kontrolę nad własnym mieniem.  

Przykład awarii samochodów Porsche w Rosji stanowi ciekawe studium przypadku pokazujące, w jaki sposób pojedyncza zależność technologiczna lub logistyczna może sparaliżować kluczowe operacje.

Z przedstawionych informacji wynika, że przyczyną awarii był moduł VTS (Vehicle Tracking System).  Podstawową funkcją systemu VTS jest ciągłe monitorowanie geograficznego położenia pojazdu za pomocą modułu GPS lub Systemu Nawigacji Satelitarnej – GNSS.  

Moduł VTS instalowany m. in. w samochodach Porsche pełni funkcję zaawansowanego zabezpieczenia. Jego działanie często opiera się na dodatkowym systemie autoryzacji kierowcy, np. za pomocą karty ADR (Automatic Driver Recognition) lub zdalnej weryfikacji. System VTS aktywuje alarm i, co najważniejsze, może zdalnie lub automatycznie odciąć zasilanie krytycznych systemów (np. pompy paliwa lub zapłonu), uniemożliwiając uruchomienie silnika lub doprowadzając do jego zgaśnięcia w trakcie jazdy, jeśli:

  1. nie jest w stanie nawiązać połączenia z centralnym serwerem,
  1. wykryje nieautoryzowane zdarzenie (np. odholowanie, odłączenie akumulatora, lub uruchomienie samochodu bez karty ADR/kluczyka),
  1. nie może zweryfikować statusu auta (czy nie zostało zgłoszone jako skradzione).

Możliwe przyczyny awarii VTS

Pierwsze reakcje rosyjskich mediów wskazywały na powszechne przekonanie, że awaria jest skutkiem celowego działania zewnętrznego aktora. Wydawało się niemożliwe, aby jednoczesne unieruchomienie samochodów konkretnej marki nastąpiła samoistnie, bez czyjejś celowej interwencji. Media wskazywały jako przyczynę działania ukraińskich hakerów lub czystą złośliwość Zachodu, a w szczególności Porsche.

Tymczasem, najbardziej prawdopodobna przyczyna, na którą zresztą wskazało samo Porsche AG w swoim oświadczeniu, to fakt, że rosyjski system VTS/PVTS (Porsche Vehicle Tracking System) został dostosowany do lokalnego rynku i różnił się od konfiguracji europejskiej czy amerykańskiej.

W rosyjskiej konfiguracji auta mogły komunikować się z lokalnymi serwerami pośredniczącymi lub autoryzowanymi rosyjskimi dostawcami usług śledzenia, zamiast bezpośrednio z głównymi serwerami Porsche w Niemczech (lub ich hubami w UE).

Kiedy Porsche AG wycofało się z Rosji w 2022 roku w wyniku sankcji, rosyjskie serwery (lub lokalni dostawcy usług) prawdopodobnie straciły wsparcie, aktualizacje i licencje głównego producenta. Awaria tych lokalnych serwerów (SPOF) lub wygaśnięcie licencji oprogramowania mogło spowodować masową utratę łączności z pojazdami.

W Rosji, z uwagi na wysoką przestępczość samochodową, wymogi ubezpieczeniowe mogły zmuszać do instalacji najbardziej restrykcyjnych systemów VTS, które charakteryzują się minimalnym marginesem tolerancji na utratę łączności.

System VTS w Porsche w modelach dotkniętych problemem, czyli Cayenne, Macan i Panamera wyprodukowanych po 2013 r., jest zintegrowany w sposób bardzo agresywny w stosunku do innych systemów samochodowych.

W przeciwieństwie do systemów innych marek, które w przypadku utraty sygnału mogą jedynie wysłać ostrzeżenie, VTS w Porsche został prawdopodobnie skonfigurowany tak, by w takiej sytuacji natychmiast aktywować pełną blokadę silnika, traktując to jako próbę kradzieży.

Inne luksusowe marki (np. BMW, Mercedes, Audi), które również wycofały się z Rosji, dotychczas uniknęły problemu.  Być może ich systemy antykradzieżowe (lub lokalizacyjne) są zaprojektowane tak, by nie wymagać ciągłej, aktywnej weryfikacji online do samej możliwości uruchomienia silnika. Blokada być może jest aktywowana jedynie w przypadku zgłoszenia kradzieży. Rosyjscy właściciele luksusowych zachodnich aut nie mogą wykluczyć, że taki scenariusz nie zmaterializuje się także w ich przypadku.

Ukraińskie media podają jeszcze jedną możliwość. Rosjanie starają się chronić miasta przed ukraińskimi dronami, zagłuszając sygnał GPS. Tym samym, mogli nieumyślnie spowodować awarię Porsche.  

Ta hipoteza wydaje się jednak mało prawdopodobna, gdyż Rosjanie nie od dziś stosują ochronę przeciwdronową, a więc gdyby miało to być przyczyną awarii - prawdopodobnie wystąpiłaby ona wcześniej. Można też śmiało założyć, że samochody Porsche poruszają się także poza chronioną strefą, a więc zakłócenia nie powinny ich dotknąć, tymczasem problem dotyczy zdaje się całych grup modeli, bez względu na ich lokalizację.  

Inne przykłady single point of failure w łańcuchu dostaw

Incydent Porsche w Rosji może posłużyć jako lekcja dla naszych systemów zarządzania ryzykiem strony trzeciej (Third Party Risk management – TPRM) a w zasadzie zarządzania ryzykiem w łańcuchu dostaw (Supply Chain Risk Management) lub bardziej precyzyjnie zarządzania ryzykiem ze strony dostawcy (Supplier/Vendor Risk Management – SRM, VRM).

Moduł VTS w samochodach Porsche pełni funkcję cyfrowego "wyłącznika awaryjnego" („kill switch”). Wiele nowoczesnych technologii (sprzęt, oprogramowanie, maszyny przemysłowe) ma wbudowane mechanizmy zdalnego wyłączania lub ograniczania funkcjonalności, co daje dostawcy absolutną kontrolę nad produktem.

Przykładem może być Starlink i sytuacja sprzed roku, gdy Elon Musk groził wyłączeniem usługi na terenie Ukrainy. Europa uważnie wsłuchała się w te groźby i pracuje nad alternatywnymi rozwiązaniami łączności satelitarnej dla systemów bezpieczeństwa, choć zastąpienie Starlinka nie będzie proste.

Kolejnym przykładem jest broń którą kupujemy od zachodnich firm, a która często jest obwarowana ograniczeniami licencyjnymi lub wyposażona w blokady techniczne, ograniczające jej zasięg lub obszar, na których można tej broni użyć. Na przykład amerykańskie pociski średniego zasięgu przez długi czas nie mogły być używane do unieszkodliwiania celów na terenie Rosji.  

Administracja Bidena wydała w końcu pozwolenie na ich stosowanie, ale jedynie na wojskowe cele znajdujące się na terenach przy granicy z Ukrainą. Taki „kill switch” jest w amerykańskiej armii dosyć powszechnie stosowane po prostu Amerykanie chcą mieć kontrolę nad tym, gdzie i w jaki sposób jest wykorzystywana produkowana przez nich broń. Taki wyłącznik ma także na celu zapobieganie przejęciu broni przez wrogów i ograniczenie niepożądanych skutków, zwłaszcza w przypadku systemów autonomicznych.

Podobne obawy pojawiają się też, jeżeli chodzi o samochody trzy w ogóle technologię sprowadzaną z Chin, która ze względu na atrakcyjne ceny staje się niezwykle popularna również w Europie. Można obawiać się takich „czerwonych guzików” zainstalowanych czy to w urządzeniach telekomunikacyjnych, w samochodach, czy w innych rozwiązaniach.

Warto zwrócić uwagę na specyficzny SPOF jakim są ograniczenia w umowach licencyjnych. Wymóg stosowania konkretnej konfiguracji serwera, liczby rdzeni, klucza fizycznego lub kombinacji unikalnych identyfikatorów (np. numery seryjne płyty głównej lub dysku twardego) do działania kluczowego oprogramowania, może uniemożliwić jego uruchomienie na serwerze awaryjnym, co stanowi wyzwanie dla Planu odtworzenia infrastruktury (Disaster Recovery Plan - DRP) i często wymaga odrębnych ustaleń z producentem oprogramowania, abyśmy mogli taką awaryjną licencję w razie potrzeby wykorzystać i jednocześnie nie musieć ponosić podwójnych kosztów.

Funkcję „kill switcha” może pełnić też decyzja administracyjna o wycofaniu konkretnej technologii, jak w przypadku dostawców wysokiego ryzyka w nowej wersji Ustawy o krajowym systemie cyberbezpieczeństwa lub sankcje powodujące wygaśnięcie wsparcia technicznego, wycofanie się producenta z rynku lub brak możliwości współpracy z określonym producentem.

Metodyka oceny ryzyka ze strony dostawcy (Vendor Risk Assessment)

Niektóre zagrożenia ze strony dostawcy w razie wystąpienia mogą unieruchomić całe przedsiębiorstwo albo wręcz doprowadzić do jego upadku, dlatego tak ważne jest przeprowadzanie rzetelnej analizy pod tym względem i niepoleganie wyłącznie na prawnych zabezpieczeniach. One są ważne, ale w sytuacji, w której ktoś wstrzyma usługi lub dostawy produktów ignorując zapisy umowy, albo wręcz zostanie on zobowiązany prawem wyższego rzędu niż nasze umowy komercyjne (np. sankcje) musimy mieć jakiś pomysł na przetrwanie. Kary umowne, odszkodowania - to wszystko nie zwróci nam dni, tygodni, a czasem miesięcy przestoju.

Podczas przygotowań na tego typu scenariusz, kluczowym krokiem jest przeprowadzenie analizy ryzyka ze strony krytycznych dostawców. Rekomendujemy skorzystanie z naszej autorskiej metodyki ERAMIS (Evidence-based Risk Assessment Methodology for Infrastructure and Services), która pozwala na rzetelną ocenę. Poniżej zamieszczam krótki opis naszego podejścia.

KROK 1 - Identyfikacja krytycznych dostawców (wykrywanie SPOF)

Sporządź listę wszystkich dostawców, których utrata lub awaria uniemożliwiłaby kluczowe procesy biznesowe na dłużej niż akceptowalny czas, wyznaczony w analizie BIA.

Pytania do Zadania:

  • Kto jest jedynym dostawcą kluczowego sprzętu, oprogramowania, surowca lub usługi?
  • Czy nasz system ma wbudowany kill switch (technologiczny, licencyjny, czy geopolityczny), który może być aktywowany przez dostawcę?
  • Czy mamy alternatywę na wypadek utraty dostawcy?

Krok 2 – Jak oszacować prawdopodobieństwo wystąpienia zagrożenia?

Dużo problemu podczas takiej analizy nastręcza ocena prawdopodobieństwa. Zwykle zaleca się, aby mierzyć je np. częstotliwością występowania zagrożeń danego typu, ale konia z rzędem temu kto jest w posiadaniu wiarygodnych danych na ten temat.  

Nawet zakłady ubezpieczeń, które mają największe i najgłębsze bazy danych historycznych zdarzeń nie potrafią precyzyjnie określić szansy wystąpienia danego zagrożenia. Mamy natomiast pewność, że analizujemy szansę wystąpienia sytuacji o bardzo niskim prawdopodobieństwie, ale o katastrofalnych skutkach.

W naszej metodyce ERAMIS opieramy się wyłącznie na weryfikowalnych danych i na faktach. Zgodnie z tym podejściem, prawdopodobieństwo oceniamy ilością i jakością zabezpieczeń, czyli tym, w jakim stopniu jesteśmy przygotowani na wystąpienie danego zagrożenia, jak wiele mamy mechanizmów kontrolnych które mu zapobiegają i jaka jest ich jakość. Dopiero na tej podstawie możemy oszacować czy szansa wystąpienia takiej sytuacji jest wysoka czy niska.

Poziom Opis
Wysokie Prawdopodobieństwo Jeśli nie masz żadnych zabezpieczeń lub masz zabezpieczenia niskiej jakości (np. brak zapasu surowca, produktów, brak innego dostawcy), szansa wystąpienia krytycznego przestoju jest wysoka.
Niskie Prawdopodobieństwo Jeśli posiadasz wiele, niezależnych i przetestowanych mechanizmów kontrolnych (np. alternatywni dostawcy, zapasy produktów lub surowców, możliwość zastosowania zastępników), ryzyko jest niskie.

Analiza nie kosztuje wiele czasu ani pieniędzy, a rzetelna ocena zawsze zawiera wszystkie uzasadnienia niezbędne do podjęcia świadomej decyzji odnośnie do tego, czy to ryzyko jest dla Was akceptowane, czy jednak chcecie się przed nim zabezpieczyć chociażby w postaci planu awaryjnego na wypadek, kiedy będziecie musieli wyjść ze współpracy z tym dostawcą (Exit Plan – Plan wyjścia).

Warto sobie wpisać takie zadanie do kalendarza. Najlepiej z jak najkrótszym terminem realizacji.

Zapisz się już teraz! 

Subskrybując newsletter Davidson Consulting, otrzymujesz merytoryczne analizy z zakresu zarządzania ryzykiem, ciągłości działania, cyberbezpieczeństwa i compliance (m.in. DORA, NIS2), a także informacje o naszych usługach i produktach, które pomogą Ci skutecznie wdrożyć prezentowane strategie.  

Pamiętaj, Twoja subskrypcja jest w pełni dobrowolna i możesz ją anulować w każdej chwili jednym kliknięciem.
* - Pole obowiązkowe
Dziękujemy za zapisanie się do Forum Ekspertów Odporności Operacyjnej.
Ups! Coś poszło nie tak podczas uzupełnienia formy. Spróbuj ponownie lub skontaktuj się bezpośrednio.

Najnowsze artykuły:

Strategiczna cisza po cyberataku na system wizowy w UK
Plan ciągłości działania, czyli instrukcja przetrwania dla Twojej firmy
Atak Shai Hulud 2.0.
Niewidzialne zagrożenia
Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Kategorie:

ICT Navigator
Geopolityka a biznes
Ochrona ludności
Bezpieczeństwo łańcucha dostaw
Zarządzanie kryzysowe
Incydenty
Szkolenia
Wydarzenia
Komunikacja kryzysowa
Audyt
Sygnaliści
Zgodność
Cyberbezpieczeństwo
Ciągłość działania

Oferta Davidson Consulting:

Business ContinuityZarządzanie ryzykiemCyberbezpieczeństwoRozmowy o ryzykuRaporty

Najnowsze artykuły

Strategiczna cisza po cyberataku na system wizowy w UK

prezentacja
Czytaj dalej
Case Study

Strategiczna cisza po cyberataku na system wizowy w UK

Incydenty
wojna, atak, cybertak, system wizowy, uk, Wielka Brytania,
Administracja publiczna

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Sprawa Lu dostarcza materiału analitycznego, nad którym powinna pochylić się każda organizacja.
Czytaj dalej
Case Study

Insider threat. Sabotaż Davisa Lu jako przykład wewnętrznego zagrożenia dla ciągłości działania

Cyberbezpieczeństwo
Incydenty
insider threat, zagrożenia wewnętrzne, cyberbezpieczeństwo, sabotaż w firmie, zarządzanie ryzykiem IT, ciągłość działania, bezpieczeństwo informacji, ochrona infrastruktury, Davis Lu, Eaton Corporation, złośliwy kod, zarządzanie uprawnieniami, audyt bezpieczeństwa, Business Continuity Plan, ryzyko osobowe, incydenty bezpieczeństwa, ochrona danych, zwolnienie pracownika IT, separacja obowiązków
Podmioty ważne i kluczowe

Atak Shai Hulud 2.0.

Ujawnienie krytycznych sekretów środowiska wykonawczego!
Czytaj dalej
Case Study

Atak Shai Hulud 2.0.

Cyberbezpieczeństwo
Ciągłość działania
Bezpieczeństwo łańcucha dostaw
Incydenty
Shai Hulud 2.0, atak supply chain npm, bezpieczeństwo CI/CD, złośliwe pakiety npm, non-human identities, zarządzanie sekretami, kradzież kluczy API, ochrona środowiska wykonawczego, rotacja poświadczeń, wyciek danych GitHub, dostęp Just-in-Time, malware w potokach CI/CD, audyt bezpieczeństwa ICT, environment.json, cyberbezpieczeństwo 2025
IT i technologia

Katastrofa śmigłowca właścicieli SUP-FOL

Lekcje o sukcesji, prokurencie i ciągłości działania spółki z o.o.
Czytaj dalej
Case Study

Katastrofa śmigłowca właścicieli SUP-FOL

Ciągłość działania
Zarządzanie kryzysowe
Incydenty
katastrofa śmigłowca, wypadek lotniczy, wypadek śmigłowca pod Rzeszowem, tragedia w firmie rodzinnej, śmierć przedsiębiorców, SUP-FOL, SupFol, katastrofa śmigłowca SUP-FOL, spółka z o.o., firmy rodzinne Polska, sukcesja w firmie, sukcesja przedsiębiorstwa, sukcesja w spółce z o.o., śmierć wspólnika, śmierć członka zarządu, co po śmierci wspólnika, co po śmierci członka zarządu, paraliż decyzyjny spółki, brak zarządu w spółce, kto reprezentuje spółkę, kurator dla spółki, kurator sądowy spółki, jak powołać kuratora spółki, ile kosztuje kurator dla spółki, KRS reprezentacja, blokada konta spółki, co dzieje się ze spółką z o.o. po śmierci zarządu, co robić gdy spółka nie ma zarządu, zarządzanie ryzykiem w firmie, plan ciągłości działania, business continuity, ciągłość działania w MŚP, plan ciągłości działania w firmie, ryzyka operacyjne firm rodzinnych, ubezpieczenie key person, prokura, prokurent, prokura samoistna, prokura łączna, jak działa prokura, czy prokura wygasa po śmierci zarządu, zabezpieczenie firmy po śmierci właściciela, jak zabezpieczyć firmę po nagłej śmierci właściciela, jak przygotować sukcesję w firmie, sukcesja kapitałowa i korporacyjna, umowa spółki sukcesja, postępowanie spadkowe wspólnika, blokada rachunku firmowego, reprezentacja spółki po śmierci zarządu
Przemysł
Firmy w Polsce
Przejdź do wszystkich wpisów