A teszteredmények azt mutatták, hogy a kínai buszgyártó hozzáfért a járművek vezérlőrendszereihez szoftverfrissítések és diagnosztika céljából.
Egy vezető norvég tömegközlekedési szolgáltató bejelentette, hogy szigorúbb biztonsági követelményeket vezet be és fokozza a feltörés elleni intézkedéseket, miután az új kínai gyártású elektromos buszokon végzett teszt kimutatta, hogy a gyártó távolról is kikapcsolhatja azokat.
A Ruter közlekedési szolgáltató szerint a múlt héten közzétett teszteredmények azt mutatták, hogy a kínai buszgyártó Yutong Group hozzáfért vezérlőrendszereihez szoftverfrissítések és diagnosztika céljából.
„Elméletileg ez kihasználható a buszra” – áll a közleményben.
A teszteket – földalatti bányákban vezetett buszokkal a külső jelek eltávolítására – vadonatúj Yutong buszokon és a holland buszgyártó VDL három éves járművein is elvégezték – közölte a vállalat. Azt mondták, hogy a tesztek kimutatták, hogy a holland buszok nem voltak képesek az éteren keresztüli szoftverfrissítésre, míg a kínai gyártású buszok igen.
Yutong szerdán nem válaszolt azonnal a kommentárt kérő megkeresésekre.
A kérdésről tudósító Guardian újság a kínai cég nyilatkozatára hivatkozott, amely szerint „szigorúan betartja” azon helyek törvényeit és szabályait, ahol járművei üzemelnek. A közlemény szerint a buszaira vonatkozó adatokat Németországban tárolták.
Az újság egy azonosítatlan Yutong szóvivőre hivatkozott, aki azt mondta, hogy az adatok titkosítottak, és „kizárólag a járművekkel kapcsolatos karbantartásra, optimalizálásra és fejlesztésre használják, hogy megfeleljenek az ügyfelek értékesítés utáni szolgáltatási igényeinek”.
A Yutong honlapja szerint a vállalat az elmúlt évtizedekben több tízezer járművet adott el Európában, Afrikában, Latin-Amerikában és az ázsiai-csendes-óceáni térségben.
A tanulmányt részben a megfigyeléssel kapcsolatos aggodalmak miatt indították el, abban az időben, amikor Európa, Észak-Amerika és azon kívül számos ország tett lépéseket a fogyasztókra és a távoli műveletekre vonatkozó adatok védelme érdekében.
Nagyobb aggodalmak az elektromos járművek távvezérlésével kapcsolatban
Az eredmények azt mutatták, hogy „a gyártó közvetlen digitális hozzáféréssel rendelkezik minden egyes buszhoz szoftverfrissítések és diagnosztika céljából” – mondta Ruter, aki azt állítja, hogy Norvégia tömegközlekedésének felét működteti, és Oslóban és a keleti Akershus régióban működik.
Az elektromos járművek távvezérlésével kapcsolatos aggodalmak nem új keletűek: az amerikai szabályozó hatóságok januárban vizsgálatot indítottak a Teslában, miután olyan balesetekről érkeztek jelentések, amelyek során olyan vállalati technológiát alkalmaztak, amely lehetővé teszi a sofőrök számára, hogy egy telefonos alkalmazás segítségével távolról utasítsák járművüket, hogy térjenek vissza hozzájuk, vagy költözzenek át egy másik helyre.
A Yutong buszokat emberek üzemeltetik – nem vezető nélküli járművek, mint például a taxik és a transzferek olyan helyeken, mint Kalifornia és Kína.
„Ezt a tesztelést követően a Ruter aggodalomról a konkrét ismeretek felé halad arról, hogyan tudunk olyan biztonsági rendszereket megvalósítani, amelyek megvédenek minket a nem kívánt tevékenységektől vagy a busz adatrendszereinek feltörésétől” – mondta Bernt Reitan Jenssen, a Ruter vezérigazgatója nyilatkozatában.
Az ilyen típusú „minden típusú jármű” veszélyben van
A közeli Dániában a Movia közlekedési vállalat közölte, hogy felülvizsgálja a kockázatbecsléseket a menetrend szerinti buszok kiberbiztonságával és kémkedésével kapcsolatban, valamint a feltörések, az adatokkal való visszaélések és a busz letiltásával járó kockázatok megelőzésére irányuló lehetséges intézkedésekről.
A Movia szerint a dán hatóságok nem jeleztek olyan esetet, amikor a buszokat deaktiválták, de keresik a módját a sebezhetőségek kiküszöbölésére.
Az új eredményeket az InformNorden közlekedési konferencián mutatták be a Délkelet-Norvég Egyetem tanácsadói, és azt mutatták, hogy sem hacker, sem a szállító nem tudta átvenni az irányítást a busz felett.
„Fontos hangsúlyozni azt is, hogy a norvég vezető tanácsadók kijelentették, hogy ez nem egy kínai buszkonszern, hanem minden típusú járműnél és készüléknél probléma, ahol ilyen elektronika van beépítve” – mondta Movia egy e-mailben.
Szigorúbb biztonsági szabályok
A buszokban lévő kamerák nem csatlakoznak az internethez, így „nem áll fenn a kép- vagy videóátvitel veszélye a buszokról” – mondta Ruter, amelynek flottájában több mint 100 Yutong busz található. A buszok távolról nem üzemeltethetők – közölte.
Ennek ellenére Ruter elmondta, hogy a gyártó mobilhálózaton keresztül hozzáférhet az akkumulátor- és tápellátás vezérlőrendszeréhez. Ez azt jelenti, hogy elméletileg a buszokat „megállíthatja vagy üzemképtelenné teheti a gyártó”.
A norvég cég azt mondta, hogy válaszul szigorúbb biztonsági szabályokat vezet be a jövőbeni beszerzések során, tűzfalakat fejleszt, amelyek biztosítják a helyi ellenőrzést és megakadályozzák a hackelést, valamint együttműködik a hatóságokkal az „egyértelmű kiberbiztonsági követelményeken”.
Lépéseket tesz a bejövő jelzések késleltetésére is, „hogy betekintést nyerhessünk a küldött frissítésekbe, mielőtt azok elérnék a buszt”.
