259814 Gruve Foto Eilif Swensen 21
Kitekintő

Föld alatti kiberbiztonsági tesztet végzett az oslói közlekedésszervező egy Yutong villanybuszon

Nem csitulnak a viták Norvégiában a kínai gyártmányú elektromos autóbuszok körül, miután a norvég sajtóban újabb részletek kerültek napvilágra a járművekhez köthető lehetséges kiberbiztonsági kockázatokról. Az oslói közlekedésszervező, a Ruter AS tavaly engedélyezte szolgáltatójának, a Nobinának, hogy fővárosi koncessziójához az újonnan beszerzendő elektromos buszokat a világ jelenleg legnagyobb autóbuszgyártójától, a kínai Yutongtól vásárolja meg, miután a holland Ebusco nem tudta teljesíteni 76 darabos megrendelését. A Yutong-járművek körüli bírálatok hónapok óta napirenden vannak, a vitát azonban új szintre emelte, hogy kiderült: a Ruter föld alatti teszteket végzett egy Yutong gyártmányú buszon. A vizsgálatok során egyebek mellett azt is elemezték, hogy a járművek adatkommunikációs rendszerei elméletileg lehetővé tehetik-e a távoli hozzáférést vagy leállítást – a megállapítások nyilvánosságra kerülése pedig ismét politikai vihart kavart, amely immár messze túlmutat a közlekedéspolitika határain.

A tavasszal kirobbant ügy középpontjában az a feltételezés áll, hogy a kínai gyártású elektromos autóbuszok rendszerei elméletileg lehetővé tehetik a távoli hozzáférést vagy beavatkozást. A gyanú szerint a járművek szoftverei és adatkommunikációs rendszerei lehetőséget adhatnak a gyártó számára arra, hogy hozzáférjen a fedélzeti hálózatokhoz, vagy akár leállítsa a buszokat. Bár mindeddig semmilyen technikai bizonyíték nem támasztotta alá ezt a feltételezést, a kínai befolyástól való félelem komoly aggodalmat keltett a norvég közvéleményben.

A Ruter vélhetően a közvélemény és a politikai döntéshozók fokozódó nyomására döntött úgy, hogy a gyártó tudta nélkül egyedülálló, titkos kiberbiztonsági vizsgálatot hajt végre, hogy pontos képet kapjon az elektromos autóbuszai informatikai védettségéről. A tesztet egy teljesen elszigetelt, rádiófrekvenciáktól mentes föld alatti létesítményben, a Sandvika közelében található Franzefoss-bányában végezték el, ahol két járművet – egy vadonatúj Yutong IC12E-t és egy hároméves VDL-modellt – vizsgáltak meg részletesen. A kísérlet célja az volt, hogy feltárja, a járművek mennyiben lehetnek kitéve távoli hozzáférésnek vagy kibertámadásnak, valamint hogy meghatározza, miként erősíthetők meg a közösségi közlekedés informatikai védelmi rendszerei a potenciális külső beavatkozásokkal szemben.

Yutong elbuss 1 scaled

Fotó: Håvard Hjorthaug Vege

Az úgynevezett „oroszlánketreces” teszt két konkrét forgatókönyvet vizsgált. Az első annak lehetőségét elemezte, hogy a járművek kamerarendszerét kezelő egység alkalmas lehet-e képi információk továbbítására vagy külső hozzáférésre. A megállapítások szerint sem a kínai, sem az európai autóbusz ezen rendszerei nem csatlakoznak az internetre, így ilyen típusú adatátvitelre technikailag nincs lehetőség. A második vizsgálat a felhőalapú beavatkozás kockázatát értékelte. Ennek során kiderült, hogy a kínai Yutong gyártó digitális hozzáféréssel rendelkezik minden egyes autóbuszhoz, amelyet távoli szoftverfrissítések, diagnosztika, valamint az energiaellátási és akkumulátor-felügyeleti rendszerek kezelésére használhat. A Ruter értékelése szerint ez elméletileg lehetőséget adhat a járművek leállítására vagy működésképtelenné tételére, ugyanakkor a kapcsolat fizikailag is megszakítható a fedélzeti SIM-kártya eltávolításával, így az üzemeltető bármikor visszaveheti a teljes irányítást a buszok felett.

alnabru scaled

Fotó: Ruter

A teszt eredményei szerint a holland VDL villanybusz nem rendelkezik távoli szoftverfrissítési funkcióval, ezért kevésbé sebezhetőnek minősült, míg a kínai Yutong-modell OTA (over-the-air) frissítési modulja ugyan digitális elérést biztosít a gyártónak, de az ebben azonosított sebezhetőségeket már kijavították. A Ruter ennek nyomán bejelentette, hogy a kínai buszok SIM-moduljait leválasztja a hálózatról, és a jövőben minden szoftverfrissítést kizárólag saját felügyelete alatt hajt majd végre.

A cég közleménye szerint a tesztek nem újabb aggodalmat, hanem konkrét tudást hoztak, de természetesen a politikai reakciók sem maradtak el. A vizsgálat eredményei rövid idő alatt újabb közéleti vitát váltottak ki, és a kiberbiztonsági kérdés a közlekedéspolitika határain messze túlnyúlva ismét napirendre került nemzetbiztonsági szempontból is. A tapasztalatok alapján a Ruter már megkezdte az új kiberbiztonsági protokollok kidolgozását. Ennek része, hogy a jövőbeni járműbeszerzéseknél szigorúbb követelményeket határoznak meg az informatikai védelem és az adatbiztonság terén, továbbá olyan tűzfalrendszert fejlesztenek, amely garantálja a helyi irányítást és kizárja a külső beavatkozás lehetőségét. A közlekedésszervező nem tervezi a kínai buszok forgalomba helyezésének leállítását, ugyanakkor megerősíti a védelmi rendszereket és együttműködik az illetékes hatóságokkal a jövőbeni szabályozások kialakításában.

fde9e336 24ab 44dc 8e99 029f50e90086

Fotó: Olav Olsen

A Ruter tájékoztatta a nemzeti és a helyi hatóságokat is, és együtt dolgozik velük azon, hogy a jövőben egyértelmű kiberbiztonsági követelményeket határozzanak meg a közbeszerzések során. A vállalat szerint a kérdés technikai összetettsége már meghaladja a regionális közlekedésszervezők kompetenciáját, ezért szükséges minden olyan hatóság bevonása, amely a kiberbiztonsággal foglalkozik – nemcsak nemzeti, hanem nemzetközi szinten is.

A tesztek arra is rávilágítottak, hogy az elemzett két jármű között jelentős technikai különbségek vannak, ami jól illusztrálja az iparág rendkívül gyors fejlődését. A következő generációs autóbuszok rendszerei várhatóan még szorosabban integráltak lesznek, ami megnehezíti a hagyományos védelmi megoldások beépítését. A Ruter szerint most áll rendelkezésre az a technológiai időablak, amely lehetővé teszi a szükséges biztonsági intézkedések végrehajtását, és a vállalat már megkezdte azok előkészítését, hogy jelentősen növelje a norvég közösségi közlekedés kiberbiztonsági ellenálló képességét.

A vizsgálat eredményeinek nyilvánosságra kerülése után a Yutong is reagált, és visszautasította a Ruter minden megállapítását. A gyártó – ahogy azt korábbi közleményében is részletezte – határozottan cáfolta, hogy autóbuszai távirányíthatók lennének. A Yutong szerint járműveik fejlesztése során a biztonság és az adatvédelem alapelveire építenek, és semmilyen technikai lehetőség nincs arra, hogy külső fél távolról beavatkozzon vagy manipulálja a buszok működését.

A vállalat hangsúlyozta, hogy minden európai uniós és nemzetközi kiberbiztonsági előírásnak megfelel, a járművekből származó adatok Norvégiában, illetve az EU területén (Frankfurtban) kerülnek tárolásra a GDPR-szabályok szigorú betartásával, és azokat kizárólag a működés optimalizálására használják fel.

KAPCSOLÓDÓ

Norvégia új félelme: Kína egy gombnyomással leállíthatja az oslói buszokat…

Az elmúlt napokban Norvégiában egyre nagyobb hullámokat vet egy különös, már-már abszurd vita: vajon a kínai gyártású elektromos buszok távolról irányíthatók-e, és ha igen, képes lehet Peking egyetlen gombnyomással leállítani Oslo tömegközlekedését? A kérdést, legalábbis az előbbit, Marit Kristine Vea, Oslo közlekedési és környezetvédelmi biztosa vetette fel, bár maga is elismerte, hogy semmilyen konkrét bizonyíték […]
Galéria 3 kép -
Címkék

Kapcsolódó cikkek

© 2011-2025 Magyarbusz Minden jog fenntartva.