Séria bezpečnostných testov odhalila potenciálne riziká v oblasti kybernetickej bezpečnosti, ktoré súvisia s OTA aktualizáciami softvéru elektrického autobusu čínskeho výrobcu Yutong. Riziká identifikoval nórsky dopravný podnik Ruter, informoval portál Electrive.
Ako by bolo možné takýto prístup zneužiť
Podľa spoločnosti Ruter by digitálny prístup k riadiacim systémom pre aktualizácie softvéru a diagnostiku mohol teoreticky umožniť vzdialenú manipuláciu s približne 850 autobusmi Yutong v Nórsku. Vyhlásenie spoločnosti ale zostáva len v tomto bode, čínskeho výrobcu „zatiaľ“ z ničoho neobviňuje.
Tento prístup by sa teda teoreticky dal zneužiť na ovplyvnenie chodu autobusu, no zároveň je potrebné dodať, že kamery v ňom nie sú pripojené na internet, takže nehrozí žiadne riziko prenosu obrazu alebo videa z autobusov.
Deaktivácia na diaľku?
Problém sa teda týka teoretickej možnosti vzdialeného pripojenia, ktoré je nevyhnutné na bezdrôtové aktualizácie softvéru. Test sa uskutočnil v izolovanom prostredí – v opustenej bani, aby sa zabránilo akejkoľvek mobilnej sieti či externým zásahom. Analýza ukázala, že Yutong mal prístup k systému batérií a správy energie, konkrétne cez rumunskú SIM kartu. Výrobca by teda teoreticky mohol autobus na diaľku deaktivovať.
Nemali by ste prehliadnuť:
- Praha zavedie novinky, ktoré sa majiteľom elektromobilov nebudú páčiť. Za parkovanie budú platiť „dvakrát“
- Čipová kríza pretrváva, Holandsko zvažuje ustúpiť. Na rade je Čína
- Prvá krajina zvažuje daň z jazdy elektromobilom. Odborníci varujú pred vážnymi následkami
Autobus má len jeden prístupový bod ku kritickým funkciám, čo uľahčuje jeho izoláciu od vonkajšieho sveta. Bezpečnostní experti tiež objavili zraniteľnosti v čínskej platforme na aktualizáciu softvéru, ktorú okrem iných využíva aj Yutong.
„Tento rozsiahly a jedinečný test nám umožní vybaviť autobusy správnou ochranou. Verejná doprava v Osle a Akershuse musí mať prístup k najmodernejším technológiám a najvyššej úrovni bezpečnosti. Po týchto testoch sa naše obavy premenili na konkrétne poznatky o tom, ako môžeme implementovať bezpečnostné systémy, ktoré nás ochránia pred neželanými aktivitami alebo pokusmi o hackovanie palubných počítačov autobusov.“
Bernt Reitan Jenssen, generálny riaditeľ spoločnosti Ruter
Spoločnosť teraz plánuje sprísniť bezpečnostné požiadavky pri budúcich verejných obstarávaniach, vyvinúť vlastné firewally a spolupracovať s miestnymi a národnými orgánmi na vytváraní jasných štandardov kybernetickej bezpečnosti.
Yutong sa bráni, ovládanie autobusu na diaľku nie je možné
K téme sa vyjadrila aj samotná spoločnosť Yutong, ktorá poprela, že jej elektrické autobusy by mohli byť na diaľku ovládané alebo prístupné z Číny.
Zároveň dodáva, že technicky nie je možné, aby boli autobusy prevádzkované v Európe ovládané alebo deaktivované z Číny. Majú síce dátové pripojenie pre diagnostiku a aktualizácie softvéru, no neexistuje fyzické prepojenie medzi hlavným riadiacim modulom a bezpečnostne kritickými systémami, akými sú brzdy, pohon či riadenie.
Výrobca tiež zdôraznil, že všetky údaje z vozidiel v Európe sa ukladajú v dátovom centre Amazon Web Services vo Frankfurte, kde sa používajú výhradne na údržbu a optimalizáciu výkonu. Aktualizácie softvéru sa vykonávajú len so súhlasom dopravcu a nemajú vplyv na riadiace systémy vozidla.
