Результати тестування показали, що китайський виробник автобусів мав доступ до систем управління транспортними засобами для оновлення програмного забезпечення та діагностики.
Провідний норвезький оператор громадського транспорту заявив, що запровадить більш суворі вимоги до безпеки та посилить заходи проти хакерських атак після того, як тестування нових китайських електробусів показало, що виробник може дистанційно вимкнути їх.
Транспортний оператор Ruter заявив, що результати тестування, опубліковані минулого тижня, показали, що китайський виробник автобусів Yutong Group мав доступ до їхніх систем управління для оновлення програмного забезпечення та діагностики.
«Теоретично це можна було б використати для впливу на автобус», — йдеться в заяві.
Тестування, під час якого автобуси їздили в підземних шахтах, щоб позбутися зовнішніх сигналів, проводилося як на нових автобусах Yutong, так і на трирічних транспортних засобах голландського виробника автобусів VDL, повідомила компанія. Вона зазначила, що тестування показало, що голландські автобуси не мають можливості проводити оновлення програмного забезпечення через бездротовий зв’язок, на відміну від автобусів китайського виробництва.
Газета Guardian, яка висвітлила цю проблему, процитувала заяву китайської компанії, в якій йдеться про те, що вона «суворо дотримується» законів і правил тих країн, де експлуатуються її транспортні засоби. У заяві зазначено, що дані про її автобуси зберігаються в Німеччині.
Газета цитує невідомого представника компанії Yutong, який заявив, що дані шифруються і «використовуються виключно для технічного обслуговування, оптимізації та вдосконалення транспортних засобів з метою задоволення потреб клієнтів у післяпродажному обслуговуванні».
Згідно з інформацією на веб-сайті Yutong, за останні десятиліття компанія продала десятки тисяч транспортних засобів у Європі, Африці, Латинській Америці та Азіатсько-Тихоокеанському регіоні.
Дослідження було розпочато частково через занепокоєння щодо стеження в той час, коли багато країн Європи, Північної Америки та інших регіонів вживають заходів для захисту даних про споживачів та дистанційне керування.
Більш широкі побоювання щодо дистанційного керування електромобілями
Результати дослідження показали, що «виробник має прямий цифровий доступ до кожного окремого автобуса для оновлення програмного забезпечення та діагностики», — зазначила компанія Ruter, яка, за її словами, управляє половиною громадського транспорту Норвегії та працює в Осло та східному регіоні Акерсхус.
Занепокоєння щодо дистанційного керування електромобілями не є новим: у січні регуляторні органи США розпочали розслідування щодо Tesla після повідомлень про аварії, пов’язані з використанням технології компанії, яка дозволяє водіям дистанційно керувати своїм автомобілем, щоб він повернувся до них або переїхав в інше місце за допомогою мобільного додатку.
Автобуси Yutong керуються людьми — це не безпілотні транспортні засоби, як таксі та маршрутні автобуси в таких місцях, як Каліфорнія та Китай.
«Після цих випробувань компанія Ruter переходить від занепокоєння до конкретних знань про те, як ми можемо впровадити системи безпеки, які захищають нас від небажаної діяльності або злому систем даних автобусів», — заявив генеральний директор Ruter Бернт Рейтан Єнссен.
«Всі типи транспортних засобів» цього типу піддаються ризику
У сусідній Данії транспортна компанія Movia заявила, що переглядає оцінку ризиків, пов’язаних з кібербезпекою та шпигунством на автобусах, що курсують за розкладом, а також можливі заходи для запобігання хакерським атакам, зловживанню даними та ризикам виведення автобусів з ладу.
Movia заявила, що датські власті не повідомляли про випадки виведення автобусів з ладу, але компанія шукає способи усунення вразливостей.
Нові висновки, за її словами, були представлені на транспортній конференції InformNorden радниками з Університету Південно-Східної Норвегії і показали, що ні хакер, ні постачальник не можуть взяти під контроль автобус.
«Важливо також підкреслити, що норвезькі старші радники заявили, що це не проблема китайських автобусів, а проблема всіх типів транспортних засобів і пристроїв, в яких вбудована така електроніка», — зазначила Movia в електронному листі.
Більш суворі правила безпеки
Камери в автобусах не підключені до Інтернету, тому «немає ризику передачі зображень або відео з автобусів», — заявила компанія Ruter, яка має у своєму парку понад 100 автобусів Yutong. Автобуси не можуть керуватися дистанційно, йдеться в повідомленні.
Проте, за словами Рутера, виробник може отримати доступ до системи управління акумулятором та джерелом живлення через мобільну мережу. Це означає, що теоретично автобуси «можуть бути зупинені або виведені з ладу виробником».
Норвезька компанія заявила, що реагує на це шляхом введення більш жорстких правил безпеки при майбутніх закупівлях, розробки брандмауерів, що забезпечують місцевий контроль і запобігають хакерським атакам, а також співпраці з владою над «чіткими вимогами до кібербезпеки».
Вона також вживає заходів для затримки вхідних сигналів, «щоб ми могли отримати уявлення про оновлення, що надсилаються, до того, як вони досягнуть автобуса».
