SG.hu
Kínai buszok távoli leállítása miatt szigorít a norvég közlekedési cég
A norvég közösségi közlekedés egyik legnagyobb szereplője, a Ruter szigorúbb biztonsági előírásokat vezet be és megerősíti kiberbiztonsági rendszereit, miután kiderült, hogy a kínai gyártmányú elektromos buszok távolról is leállíthatók a gyártó által.
A felfedezés komoly aggodalmakat keltett az országban, és új szintre emelte a vitát a kritikus infrastruktúrák digitális sebezhetőségeiről, különösen a kínai technológiai termékek esetében. A Ruter által közzétett tesztek szerint a kínai Yutong Group által gyártott buszok vezérlőrendszereit a gyártó egy román SIM-kártyán keresztül közvetlenül elérheti szoftverfrissítések és diagnosztikai műveletek céljából. A vállalat közleménye szerint „ez a hozzáférés elméletben használható a busz működésének befolyásolására.” A vizsgálat során a norvég közlekedési cég újonnan vásárolt Yutong buszokat és hároméves holland VDL járműveket is tesztelt. A teszteket föld alatti bányákban végezték, hogy kizárják a külső hálózati jelek befolyását. Az eredmények szerint a VDL buszok nem rendelkeztek távoli szoftverfrissítési lehetőséggel, míg a Yutong buszok igen, ami biztonsági szempontból jelentős különbségnek számít.
A kínai Yutong közleményt adott ki, amelyben hangsúlyozta, hogy „szigorúan betartja az adott országok jogszabályait és szabályait.” A vállalat azt is közölte, hogy az adatokat Németországban tárolják, titkosított formában, és azokat kizárólag karbantartási, optimalizálási és ügyfélszolgálati célokra használják. A Yutong weboldala szerint a cég az elmúlt évtizedekben több tízezer járművet adott el Európában, Afrikában, Latin-Amerikában és az ázsiai–csendes-óceáni térségben. A vizsgálatot részben az adatbiztonság és a távfelügyelet miatti növekvő aggodalmak indokolták. Az utóbbi években Európa és Észak-Amerika több országában is szigorúbb adatvédelmi és kiberbiztonsági intézkedéseket vezettek be, hogy megakadályozzák a külföldi hozzáférést érzékeny rendszerekhez.
A Ruter szerint a tesztek bizonyították, hogy a gyártó szoftverfrissítési és diagnosztikai célból közvetlen digitális hozzáféréssel rendelkezik minden egyes buszhoz. Bernt Reitan Jenssen, a Ruter vezérigazgatója kijelentette: "A tesztek után a Ruter most már az aggodalomtól a konkrét tudásig jutott el abban, hogyan valósíthatunk meg olyan biztonsági rendszereket, amelyek megvédenek bennünket a nem kívánt tevékenységektől vagy a busz adat rendszerének feltörésétől.”
A kérdés nem csak Norvégiát érinti. Dániában a Movia nevű közlekedési vállalat is bejelentette, hogy újraértékeli a kiberbiztonsági kockázatokat, különösen az adatlopás, a hackelés és a járművek letiltásának lehetősége kapcsán. A dán hatóságok egyelőre nem jeleztek konkrét eseteket, de a cég szerint fontos, hogy „megelőzzék a lehetséges sebezhetőségeket.” A Movia hozzátette, hogy a vizsgálat eredményei szerint sem a gyártó, sem egy hacker nem tudta átvenni az irányítást a busz felett, és a norvég szakértők is hangsúlyozták, hogy ez nem kizárólag a kínai járművek problémája, hanem minden olyan modern jármű esetében fennáll, amely hálózatra kapcsolt elektronikai rendszereket használ.
A Ruter közleménye szerint a buszok fedélzeti kamerái nem kapcsolódnak az internethez, így nincs veszélye annak, hogy képek vagy videók kerüljenek ki a hálózatra. Ugyanakkor elismerték, hogy a gyártó a mobilhálózaton keresztül hozzáfér a buszok akkumulátor- és energiarendszeréhez, ami elméletileg lehetővé teheti, hogy a buszokat távolról leállítsák vagy működésképtelenné tegyék. A norvég cég válaszul szigorúbb biztonsági előírásokat tervez bevezetni a jövőbeni járműbeszerzéseknél, új tűzfalakat fejleszt, amelyek biztosítják a helyi irányítást és megakadályozzák a külső behatolást, valamint együttműködik a hatóságokkal az egyértelmű kiberbiztonsági követelmények kidolgozásában. Emellett a Ruter olyan rendszert is kiépít, amely késlelteti a beérkező jeleket, így előbb megvizsgálhatják a frissítések tartalmát, mielőtt azok eljutnak a járművekhez.
Az ügy komoly precedenst teremthet Európában a külföldi gyártású elektromos járművek biztonsági felügyeletében, és valószínűleg új szabványok kidolgozását is ösztönözheti az intelligens járművek piacán. A helyzet nem példa nélküli: az Egyesült Államokban 2024 elején a hatóságok vizsgálatot indítottak a Tesla ellen, miután több baleset történt olyan funkciók használata közben, amelyek lehetővé teszik, hogy a sofőrök egy telefonos alkalmazással távolról irányítsák járműveiket. A Ruter ugyanakkor hangsúlyozta, hogy a Yutong buszokat emberek vezetik, nem pedig önvezető rendszerek, így a távoli beavatkozás veszélye korlátozott.
A felfedezés komoly aggodalmakat keltett az országban, és új szintre emelte a vitát a kritikus infrastruktúrák digitális sebezhetőségeiről, különösen a kínai technológiai termékek esetében. A Ruter által közzétett tesztek szerint a kínai Yutong Group által gyártott buszok vezérlőrendszereit a gyártó egy román SIM-kártyán keresztül közvetlenül elérheti szoftverfrissítések és diagnosztikai műveletek céljából. A vállalat közleménye szerint „ez a hozzáférés elméletben használható a busz működésének befolyásolására.” A vizsgálat során a norvég közlekedési cég újonnan vásárolt Yutong buszokat és hároméves holland VDL járműveket is tesztelt. A teszteket föld alatti bányákban végezték, hogy kizárják a külső hálózati jelek befolyását. Az eredmények szerint a VDL buszok nem rendelkeztek távoli szoftverfrissítési lehetőséggel, míg a Yutong buszok igen, ami biztonsági szempontból jelentős különbségnek számít.
A kínai Yutong közleményt adott ki, amelyben hangsúlyozta, hogy „szigorúan betartja az adott országok jogszabályait és szabályait.” A vállalat azt is közölte, hogy az adatokat Németországban tárolják, titkosított formában, és azokat kizárólag karbantartási, optimalizálási és ügyfélszolgálati célokra használják. A Yutong weboldala szerint a cég az elmúlt évtizedekben több tízezer járművet adott el Európában, Afrikában, Latin-Amerikában és az ázsiai–csendes-óceáni térségben. A vizsgálatot részben az adatbiztonság és a távfelügyelet miatti növekvő aggodalmak indokolták. Az utóbbi években Európa és Észak-Amerika több országában is szigorúbb adatvédelmi és kiberbiztonsági intézkedéseket vezettek be, hogy megakadályozzák a külföldi hozzáférést érzékeny rendszerekhez.
A Ruter szerint a tesztek bizonyították, hogy a gyártó szoftverfrissítési és diagnosztikai célból közvetlen digitális hozzáféréssel rendelkezik minden egyes buszhoz. Bernt Reitan Jenssen, a Ruter vezérigazgatója kijelentette: "A tesztek után a Ruter most már az aggodalomtól a konkrét tudásig jutott el abban, hogyan valósíthatunk meg olyan biztonsági rendszereket, amelyek megvédenek bennünket a nem kívánt tevékenységektől vagy a busz adat rendszerének feltörésétől.”
A kérdés nem csak Norvégiát érinti. Dániában a Movia nevű közlekedési vállalat is bejelentette, hogy újraértékeli a kiberbiztonsági kockázatokat, különösen az adatlopás, a hackelés és a járművek letiltásának lehetősége kapcsán. A dán hatóságok egyelőre nem jeleztek konkrét eseteket, de a cég szerint fontos, hogy „megelőzzék a lehetséges sebezhetőségeket.” A Movia hozzátette, hogy a vizsgálat eredményei szerint sem a gyártó, sem egy hacker nem tudta átvenni az irányítást a busz felett, és a norvég szakértők is hangsúlyozták, hogy ez nem kizárólag a kínai járművek problémája, hanem minden olyan modern jármű esetében fennáll, amely hálózatra kapcsolt elektronikai rendszereket használ.
A Ruter közleménye szerint a buszok fedélzeti kamerái nem kapcsolódnak az internethez, így nincs veszélye annak, hogy képek vagy videók kerüljenek ki a hálózatra. Ugyanakkor elismerték, hogy a gyártó a mobilhálózaton keresztül hozzáfér a buszok akkumulátor- és energiarendszeréhez, ami elméletileg lehetővé teheti, hogy a buszokat távolról leállítsák vagy működésképtelenné tegyék. A norvég cég válaszul szigorúbb biztonsági előírásokat tervez bevezetni a jövőbeni járműbeszerzéseknél, új tűzfalakat fejleszt, amelyek biztosítják a helyi irányítást és megakadályozzák a külső behatolást, valamint együttműködik a hatóságokkal az egyértelmű kiberbiztonsági követelmények kidolgozásában. Emellett a Ruter olyan rendszert is kiépít, amely késlelteti a beérkező jeleket, így előbb megvizsgálhatják a frissítések tartalmát, mielőtt azok eljutnak a járművekhez.
Az ügy komoly precedenst teremthet Európában a külföldi gyártású elektromos járművek biztonsági felügyeletében, és valószínűleg új szabványok kidolgozását is ösztönözheti az intelligens járművek piacán. A helyzet nem példa nélküli: az Egyesült Államokban 2024 elején a hatóságok vizsgálatot indítottak a Tesla ellen, miután több baleset történt olyan funkciók használata közben, amelyek lehetővé teszik, hogy a sofőrök egy telefonos alkalmazással távolról irányítsák járműveiket. A Ruter ugyanakkor hangsúlyozta, hogy a Yutong buszokat emberek vezetik, nem pedig önvezető rendszerek, így a távoli beavatkozás veszélye korlátozott.