Przeprowadzone testy wykazały, że chińskie autobusy Yutong mają „luki”, które można wykorzystać do zdalnego zatrzymania ich i wyłączenia. Co ciekawe, europejskie autobusy wypadły lepiej, ale miały ważną przewagę.
Testy chińskich autobusów
Ruter, organizator transportu publicznego w Oslo, zdecydował się przeprowadzić testy wykorzystywanych autobusów. Na „warsztat” wzięto nowy autobus firmy Yutong (Chiny) oraz trzyletni autobus firmy VDL (Holandia). Celem było wykrycie potencjalnych zagrożeń cyberbezpieczeństwa, a także zabezpieczenie transportu publicznego przed niepożądaną aktywnością, działaniami wywiadowczymi i atakami hakerskimi.
Postanowiono zbadać dwa scenariusze. Pierwszy dotyczył możliwości wykorzystania kamer w autobusie do przesyłania nagrań i obrazów, które mogłyby posłużyć przykładowo do celów wywiadowczych. W obu przypadkach nie znaleziono rozwiązań mogących wzbudzić podejrzenia.
Natomiast drugi scenariusz zakładał potencjalne możliwości wpływania na kluczowe systemy autobusów za pośrednictwem chmury i połączenia internetowego. Tym razem okazało się, że chiński dostawca ma bezpośredni, cyfrowy dostęp do każdej magistrali w celu aktualizacji oprogramowania i diagnostyki. Do tego dochodzi dostęp do systemu zarządzania akumulatorem i zasilania.
Jak wskazuje Ruter, teoretycznie producent może chwilowo wstrzymać działanie konkretnej magistrali lub nawet unieruchomić ją na stałe. Z kolei holenderskie autobusy VDL nie oferują funkcji zdalnej aktualizacji oprogramowania, a więc zostały uznane za mniej podatne na ataki i inne niepożądane działania.
Wystarczy wyciągnąć kartę SIM
Według serwisu Aftenposten, flota należąca do spółki Ruter składa się z około 300 chińskich autobusów, ale nie wiadomo, ile z nich może mieć ewentualne „furtki” w oprogramowaniu. Niektóre autobusy są już regularnie wykorzystywane na trasach w Oslo i okolicach, co jak najbardziej może wzbudzać niepokój u Norwegów.
Dostępne są jednak środki, które łagodzą przedstawiony problem. Otóż Ruter w opublikowanym komunikacie wskazuje, że dostępna jest możliwość odłączenia autobusów Yutong od internetu. Wystarczy wyjąć kartę SIM, bowiem to właśnie ona jest jednym z głównych elementów pozwalających na łączność z siecią.
Ponadto przygotowywane są rozwiązania mające w przyszłości zapewnić większy poziom bezpieczeństwa. Jeden z punktów zakłada wprowadzenie bardziej restrykcyjnych wymagań podczas zamówień publicznych. Analizowana jest też możliwość wdrożenia zapory sieciowej, która zabezpieczy obecne i przyszłe pojazdy przed zdalnym dostępem.
Oczywiście nie należy wychodzić z założenia, że Chińczycy kiedykolwiek rozważali zablokowanie swoich autobusów w Europie. W końcu celem jest zarabianie i sprzedawanie kolejnych pojazdów, a po jednej takiej akcji jakiekolwiek kontakty byłyby pewnie zerwane. Co więcej, odbiłoby się to na handlu z pozostałymi chińskimi firmami.
Możliwe, że zadaniem opisanych „luk” jest zapewnienie mechanizmów bezpieczeństwa w sytuacji, gdyby przykładowo autobus został skradziony. Mimo wszystko warto zachować czujność. W związku z tym kroki podjęte przez Norwegów należy uznać za słuszne.
Warto też przypomnieć, że MZA w Warszawie testowało w przeszłości autobus elektryczny Yutong U12.
