Otkriveni su sigurnosni propusti u sustavu javnog prijevoza u Norveškoj.
Norveški javni prijevoznik Ruter otkrio je moguće kibernetičke rizike povezane s bežičnim ažuriranjima softvera u električnim autobusima kineskog proizvođača Yutong, nakon što je proveo niz sigurnosnih testova. Tvrtka sada planira uvesti niz zaštitnih mjera kao odgovor na rezultate analize.
Prema podacima Rutera, digitalni pristup sustavima kontrole koji omogućuju ažuriranje softvera i dijagnostiku mogao bi, barem teoretski, omogućiti udaljeno upravljanje s 850 Yutong autobusa u Norveškoj. U priopćenju operatera naglašava se kako kineski proizvođač "ima digitalni pristup kontrolnim sustavima za ažuriranja softvera i dijagnostiku", bez dodatnih interpretacija.
Ruter dodaje: "U teoriji, taj pristup mogao bi se iskoristiti za utjecaj na autobus", no ističe da "kamere u autobusima nisu povezane s internetom, pa ne postoji rizik od prijenosa slika ili videozapisa".
Budući da je Yutong kineska tvrtka, pojedini su mediji izvještaj prenijeli u senzacionalističkijem tonu od samog Rutera. Jedan njemački portal čak je naveo da "istraga pokazuje kako se 850 Yutong autobusa u Norveškoj može daljinski kontrolirati, pa čak i potpuno zaustaviti iz Kine".
Sigurnosni stručnjaci doista su otkrili ranjivosti u kineskoj platformi za softverska ažuriranja koju koriste Yutong i drugi proizvođači. "Propusti su prijavljeni pružatelju platforme i u međuvremenu su ispravljeni", poručili su iz Rutera.
Test je proveden tijekom ljeta u izoliranom okruženju, unutar napuštenog rudnika u planini, bez mogućnosti mobilne mreže ili vanjskih smetnji. Analiza je pokazala da Yutong ima vanjski pristup sustavu baterije i upravljanja energijom putem rumunjske SIM kartice. To znači da bi proizvođač teoretski mogao onemogućiti rad autobusa na daljinu.
Usporedni test s trogodišnjim električnim autobusom proizvođača VDL pokazao je bolje rezultate jer taj model ne podržava bežična ažuriranja pa stoga nema vanjskih pristupnih točaka. Nedostatak te funkcije, međutim, znači i da ne može primati softverske nadogradnje na daljinu.
Ruter je također naveo kako su sustavi u Yutongovu autobusu "slabo integrirani", što znači da nisu bili prikriveni na način koji bi upućivao na postojanje "skrivenih pristupnih točaka" za namjerno daljinsko isključivanje vozila.
Autobus ima samo jednu pristupnu točku za kritične funkcije. "To nam omogućuje jednostavno izoliranje sustava od vanjskog svijeta. Također možemo usporiti ili provjeriti dolazne signale prije nego što stignu do autobusa. Takvi mehanizmi trenutno se implementiraju", stoji u Ruterovu priopćenju.
"Ovaj opsežan i jedinstven test omogućio nam je da opremimo autobuse pravom zaštitom. Javni prijevoz u Oslu i Akershusu mora imati pristup najnaprednijoj tehnologiji i najvišim sigurnosnim standardima", izjavio je Bernt Reitan Jenssen, izvršni direktor Rutera.
"Nakon ovih testiranja, naši su se strahovi pretvorili u konkretno znanje o tome kako možemo implementirati sigurnosne sustave koji nas štite od neovlaštenih aktivnosti ili pokušaja hakiranja računalnih sustava u autobusima."
Tvrtka je održala sastanak s norveškim Ministarstvom prometa i komunikacija, koje je izrazilo spremnost na suradnju. Ruter sada planira pooštriti sigurnosne zahtjeve za buduće natječaje, razviti vlastite sustave zaštite (firewallove) kako bi osigurao lokalnu kontrolu i zaštitu od kibernetičkih napada te surađivati s nacionalnim i lokalnim vlastima na izradi jasnih standarda kibernetičke sigurnosti.
"Današnji autobusi imaju razinu digitalne funkcionalnosti sličnu osobnim automobilima iz 2016. godine. Istina je da, kako sustavi za pomoć vozaču i autonomna tehnologija postaju sve češći, rizik raste ako se sigurnosne mjere ne uvedu na vrijeme", zaključuju iz Rutera.
Problem se pojavljuje u trenutku kada Norveška brzo proširuje svoju flotu kineskih autobusa. Od približno 1.300 električnih autobusa koji trenutačno prometuju diljem zemlje, oko 850 proizvela je tvrtka Yutong. Samo u Oslu i regiji Akershus svakodnevno vozi oko 300 takvih autobusa.