Přední norský provozovatel veřejné dopravy oznámil, že zavede přísnější bezpečnostní požadavky a posílí opatření proti hackerství poté, co test nových elektrických autobusů ukázal, že čínský výrobce je může na dálku vypnout. Problém se netýká jen čínských strojů, ale obecně moderních elektrobusů.
Provozovatel dopravy Ruter uvedl, že výsledky testů zveřejněné v říjnu ukázaly, že čínský výrobce autobusů Yutong Group měl přístup k jejich řídicím systémům, aby mohl snadno aktualizovat jejich software a na dálku provádět diagnostiku. Jenže to otevřelo zadní vrátka do zabezpečení, takže se „to teoreticky dalo zneužít k ovlivnění autobusu“, upozornil Ruter.
Testy probíhaly v podzemních dolech, aby se odstranily vnější signály, na dvou typech elektrobusů – zcela nových autobusech čínské značky Yutong a na tři roky starých vozidlech nizozemského výrobce VDL. Testy ukázaly, že zatímco nizozemské autobusy nebyly schopné provádět bezdrátové aktualizace softwaru, ty čínské to dokázaly.
Kritici zde namítají, že test nemohl dopadnout jinak, protože starší autobusy nejsou vybavené žádným zařízením, které by dálkovou kontrolu umožňovalo, takže zkouška nedávala v tomto ohledu příliš smysl a její výsledek byl známý předem. Ve skutečnosti je podobnými zařízeními vybavená celá řada elektrobusů, a to včetně těch od velkých evropských výrobců.
Přísně dodržujeme zákony, zní z Číny
Deník The Guardian, který o této záležitosti jako první informoval, citoval prohlášení čínské společnosti, že „přísně dodržuje“ zákony a pravidla států, kde svá vozidla provozuje. Toto prohlášení uvádí, že data o jejích autobusech jsou uložena v Německu, konkrétně v datových centrech Amazon Web Services, kde se s nimi pracuje v souladu s evropskými nařízeními.
Deník citoval neidentifikovaného mluvčího společnosti Yutong, který uvedl, že data jsou šifrována a „používána výhradně pro údržbu, optimalizaci a vylepšení vozidel, aby byly splněny požadavky zákazníků na poprodejní servis“. Podle webových stránek společnosti Yutong prodala společnost v posledních desetiletích desítky tisíc vozidel v Evropě, Africe, Latinské Americe a v asijsko-pacifickém regionu. V Česku sice jezdí mnoho autobusů této značky, podle dostupných informací ale zatím žádné elektrobusy.
„Na základě těchto testů se společnost Ruter posunula od obav ke konkrétním poznatkům o tom, jak můžeme implementovat bezpečnostní systémy, které nás ochrání před nežádoucími aktivitami nebo hackerstvím datových systémů autobusů,“ prohlásil generální ředitel společnosti Ruter Bernt Reitan Jenssen.
Studie norského dopravce podle agentury AP vznikla kvůli stoupajícím obavám o sledování dat, a to v době, kdy mnoho zemí v Evropě, Severní Americe a dalších regionech přijímá opatření na ochranu údajů o spotřebitelích a dálkovém ovládání.
Širší obavy o dálkové ovládání elektromobilů
Obavy z takového dálkového ovládání elektrických vozidel nejsou nové. V Dánsku dopravní společnost Movia oznámila, že prověřuje hodnocení rizik v oblasti kybernetické bezpečnosti a špionáže v pravidelných linkách a hledá možná opatření, aby předešla pokusům o hackování, zneužití dat a rizika vyřazení autobusu z provozu.
Movia uvedla, že dánské úřady zatím nehlásily žádné případy vyřazení autobusů z provozu, ale hledají způsoby, jak odstranit možné zranitelnosti, které by otevřely dveře takovým útokům. Nové poznatky podle firmy ukázaly, že ani hacker, ani dodavatel zatím nemohou převzít kontrolu nad autobusem tak, že by měnily směr a rychlost jízdy. To potvrdila i norská společnost Ruter.
„Je také důležité zdůraznit, že norští poradci uvedli, že se nejedná pouze o problém čínských autobusů, ale o problém všech typů vozidel a zařízení s tímto druhem zabudované elektroniky,“ uvedla Movia v e-mailu pro agenturu AP.
Tento druh vzdáleného přístupu k elektromobilům (ať už automobilům nebo autobusům) není výsadou čínských firem, obecně se jím společnosti samy chlubí, protože extrémně usnadňuje nejrůznější vylepšení programů, které jsou stále důležitější součástí moderních automobilů.
Například americké regulační orgány v lednu zahájily vyšetřování společnosti Tesla poté, co se objevily zprávy o nehodách souvisejících s používáním technologie této společnosti, která řidičům umožňuje pomocí telefonní aplikace dálkově přikázat vozidlu, aby se k nim vrátilo nebo se přesunulo na jiné místo.
Norská zpráva měla upozornit na to, že tyto nesporné výhody mohou obecně vést i ke zranitelnosti dopravních prostředků. Čínské elektrické autobusy byly vybrané proto, že tvoří většinu flotily elektrických autobusů v Norsku.
Přísnější bezpečnostní pravidla
RIziko se podle analýzy také netýká obrazových záznamů. „Kamery v autobusech nejsou připojeny k internetu, takže „neexistuje riziko přenosu obrazu nebo videa z autobusů“, uvedla společnost Ruter, která má ve své flotile více než sto autobusů Yutong.
Výrobce nicméně má přístup k systému řízení baterie a napájení prostřednictvím mobilní sítě. To podle norské firmy znamená, že autobusy „mohou být teoreticky zastaveny nebo vyřazeny z provozu výrobcem“.
Norská společnost uvedla, že reaguje zavedením přísnějších bezpečnostních pravidel pro budoucí nákupy, vývojem firewallů, které zajistí místní kontrolu a zabrání hackerství, a spoluprací s úřady na „jasných požadavcích na kybernetickou bezpečnost“.
Podniká také kroky k zpoždění příchozích signálů, „abychom mohli získat přehled o zasílaných aktualizacích, než se dostanou do autobusu“.
