Wyniki testów wykazały, że chiński producent autobusów miał dostęp do systemów sterowania autobusów na potrzeby aktualizacji oprogramowania i diagnostyki.
Jeden z czołowych norweskich operatorów transportu publicznego zapowiedział wprowadzenie ostrzejszych wymogów bezpieczeństwa i wzmocnienie zabezpieczeń przed atakami hakerskimi, po tym jak test nowych, chińskich autobusów elektrycznych wykazał, że producent może je zdalnie wyłączać.
Operator Ruter poinformował, że wyniki opublikowane w ubiegłym tygodniu pokazały, iż chiński producent autobusów Yutong Group ma dostęp do systemów sterowania autobusów w celu aktualizacji oprogramowania i diagnostyki.
„W teorii można to wykorzystać, by wpływać na działanie autobusu” – przekazał Ruter.
Testy (z autobusami jeżdżącymi w podziemnych kopalniach, by odciąć zewnętrzne sygnały) przeprowadzono zarówno na fabrycznie nowych autobusach Yutonga, jak i na trzyletnich pojazdach holenderskiego producenta VDL – podała firma. Wykazały, że holenderskie autobusy nie mają możliwości zdalnych aktualizacji oprogramowania (over-the-air), a chińskie – tak.
Yutong w środę nie udzielił od razu odpowiedzi na prośby o komentarz.
Dziennik The Guardian, który opisał sprawę, przytoczył oświadczenie chińskiej firmy. Zapewniła, że „ściśle przestrzega” przepisów obowiązujących tam, gdzie działają jej pojazdy. Według oświadczenia dane dotyczące autobusów są przechowywane w Niemczech.
Dziennik powołał się też na anonimowego rzecznika Yutonga, który stwierdził, że dane są szyfrowane i „wykorzystywane wyłącznie do prac serwisowych, optymalizacji i udoskonaleń związanych z pojazdami, aby sprostać potrzebom posprzedażowym klientów”.
Jak podaje strona Yutonga, w ostatnich dekadach firma sprzedała dziesiątki tysięcy pojazdów w Europie, Afryce, Ameryce Łacińskiej oraz w regionie Azji i Pacyfiku.
Badanie zainicjowano m.in. z obawy przed inwigilacją. Wiele państw w Europie, Ameryce Północnej i gdzie indziej podejmuje dziś działania, by chronić dane o konsumentach i zdalnych operacjach.
Obawy związane ze zdalnym sterowaniem pojazdami elektrycznymi
„Producent ma bezpośredni, cyfrowy dostęp do każdego autobusu w celu aktualizacji oprogramowania i diagnostyki” – przekazał Ruter, który obsługuje połowę transportu publicznego w Norwegii i działa w Oslo oraz we wschodnim regionie Akershus.
Obawy o zdalne sterowanie pojazdami elektrycznymi nie są nowe. Amerykańscy regulatorzy w styczniu wszczęli postępowanie wobec Tesli po doniesieniach o wypadkach związanych z użyciem technologii, która pozwala kierowcom, za pomocą aplikacji w telefonie, kazać samochodowi wrócić do właściciela lub przemieścić się w inne miejsce.
Autobusami Yutonga kierują ludzie. Nie są to pojazdy autonomiczne, jak taksówki i wahadłowe minibusy w miejscach takich jak Kalifornia czy Chiny.
„Po tych testach Ruter przechodzi od obaw do konkretnej wiedzy o tym, jak wdrożyć systemy bezpieczeństwa chroniące nas przed niepożądaną aktywnością lub włamaniami do systemów danych autobusu” – stwierdził w oświadczeniu prezes Ruter, Bernt Reitan Jenssen.
„Wszystkie typy pojazdów” tego rodzaju są narażone
W sąsiedniej Danii firma transportowa Movia zapowiedziała przegląd ocen ryzyka w zakresie cyberbezpieczeństwa i szpiegostwa w autobusach liniowych oraz możliwych środków zapobiegających włamaniom, nadużyciom danych i ryzyku unieruchomienia autobusu.
Movia przekazała, że duńskie władze nie sygnalizowały przypadków dezaktywacji autobusów, jednak spółka szuka sposobów, by wyeliminować luki.
Jak podała, nowe ustalenia zaprezentowali na konferencji transportowej InformNorden doradcy z Uniwersytetu Południowo-Wschodniej Norwegii. Wykazały, że ani haker, ani dostawca nie mogą przejąć kontroli nad autobusem.
„Ważne jest też podkreślenie, że norwescy doradcy stwierdzili, iż nie jest to kwestia chińskich autobusów; to problem wszystkich typów pojazdów i urządzeń z taką elektroniką” – napisała Movia w e-mailu.
Surowsze zasady bezpieczeństwa
Kamery w autobusach nie są podłączone do internetu, więc „nie ma ryzyka przesyłania z autobusów obrazu ani nagrań wideo” – poinformował Ruter, który ma w swojej flocie ponad 100 autobusów Yutonga. Nie można nimi sterować zdalnie – dodał.
Mimo to Ruter wskazał, że producent ma dostęp do systemu sterowania baterią i zasilaniem przez sieć komórkową. To oznacza, że w teorii autobusy „mogą zostać zatrzymane lub unieruchomione przez producenta”.
Norweska spółka zapowiada w odpowiedzi surowsze wymogi bezpieczeństwa przy przyszłych przetargach, opracowanie zapór sieciowych zapewniających lokalną kontrolę i ochronę przed włamaniami oraz współpracę z władzami nad „jasnymi wymaganiami w zakresie cyberbezpieczeństwa”.
Podejmuje też kroki, by opóźniać sygnały przychodzące, „aby mieć wgląd w wysyłane aktualizacje, zanim dotrą do autobusu”.