Nem csitulnak a viták Norvégiában a kínai gyártmányú elektromos autóbuszok körül, miután a norvég sajtóban újabb részletek kerültek napvilágra a járművekhez köthető lehetséges kiberbiztonsági kockázatokról.

Az oslói közlekedésszervező, a Ruter AS tavaly engedélyezte szolgáltatójának, a Nobinának, hogy fővárosi koncessziójához az újonnan beszerzendő elektromos buszokat a világ jelenleg legnagyobb autóbuszgyártójától, a kínai Yutongtól vásárolja meg, miután a holland Ebusco nem tudta teljesíteni 76 darabos megrendelését.

A Ruter föld alatti teszteket végzett egy Yutong gyártmányú buszon. A vizsgálatok során egyebek mellett azt is elemezték, hogy a járművek adatkommunikációs rendszerei elméletileg lehetővé tehetik-e a távoli hozzáférést vagy leállítást, a megállapítások nyilvánosságra kerülése pedig ismét vihart kavart - írja a magyarbuszinfo.hu.

Az ügy középpontjában az a feltételezés áll, hogy a kínai gyártású elektromos autóbuszok rendszerei elméletileg lehetővé tehetik a távoli hozzáférést vagy beavatkozást. A gyanú szerint a járművek szoftverei és adatkommunikációs rendszerei lehetőséget adhatnak a gyártó számára arra, hogy hozzáférjen a fedélzeti hálózatokhoz, vagy akár leállítsa a buszokat.

Bár mindeddig semmilyen technikai bizonyíték nem támasztotta alá ezt a feltételezést, a kínai befolyástól való félelem komoly aggodalmat keltett a norvég közvéleményben.

A Ruter vélhetően a közvélemény és a politikai döntéshozók fokozódó nyomására döntött úgy, hogy a gyártó tudta nélkül egyedülálló, titkos kiberbiztonsági vizsgálatot hajt végre, hogy pontos képet kapjon az elektromos autóbuszai informatikai védettségéről.

A tesztet egy teljesen elszigetelt, rádiófrekvenciáktól mentes föld alatti létesítményben, a Sandvika közelében található Franzefoss-bányában végezték el, ahol két járművet – egy vadonatúj Yutong IC12E-t és egy hároméves VDL-modellt – vizsgáltak meg részletesen.

Az úgynevezett „oroszlánketreces” teszt két konkrét forgatókönyvet vizsgált. Az első annak lehetőségét elemezte, hogy a járművek kamerarendszerét kezelő egység alkalmas lehet-e képi információk továbbítására vagy külső hozzáférésre.

A megállapítások szerint sem a kínai, sem az európai autóbusz ezen rendszerei nem csatlakoznak az internetre, így ilyen típusú adatátvitelre technikailag nincs lehetőség.

A második vizsgálat a felhőalapú beavatkozás kockázatát értékelte. Ennek során kiderült, hogy a kínai Yutong gyártó digitális hozzáféréssel rendelkezik minden egyes autóbuszhoz, amelyet távoli szoftverfrissítések, diagnosztika, valamint az energiaellátási és akkumulátor-felügyeleti rendszerek kezelésére használhat.

A Ruter értékelése szerint ez elméletileg lehetőséget adhat a járművek leállítására vagy működésképtelenné tételére, ugyanakkor a kapcsolat fizikailag is megszakítható a fedélzeti SIM-kártya eltávolításával, így az üzemeltető bármikor visszaveheti a teljes irányítást a buszok felett.

A teszt eredményei szerint a holland VDL villanybusz nem rendelkezik távoli szoftverfrissítési funkcióval, ezért kevésbé sebezhetőnek minősült, míg a kínai Yutong-modell OTA (over-the-air) frissítési modulja ugyan digitális elérést biztosít a gyártónak, de az ebben azonosított sebezhetőségeket már kijavították.

A Ruter ennek nyomán bejelentette, hogy a kínai buszok SIM-moduljait leválasztja a hálózatról, és a jövőben minden szoftverfrissítést kizárólag saját felügyelete alatt hajt majd végre.

A cég közleménye szerint a tesztek nem újabb aggodalmat, hanem konkrét tudást hoztak, de a vizsgálat eredményei rövid idő alatt újabb közéleti vitát váltottak ki.

A közlekedésszervező nem tervezi a kínai buszok forgalomba helyezésének leállítását, ugyanakkor megerősíti a védelmi rendszereket és együttműködik az illetékes hatóságokkal

a jövőbeni szabályozások kialakításában.

A vizsgálat eredményeinek nyilvánosságra kerülése után a Yutong is reagált. A gyártó határozottan cáfolta, hogy autóbuszai távirányíthatók lennének. A Yutong szerint járműveik fejlesztése során a biztonság és az adatvédelem alapelveire építenek, és semmilyen technikai lehetőség nincs arra, hogy külső fél távolról beavatkozzon vagy manipulálja a buszok működését.

A vállalat hangsúlyozta, hogy minden európai uniós és nemzetközi kiberbiztonsági előírásnak megfelel, a járművekből származó adatokat Norvégiában, illetve az EU területén (Frankfurtban) tárolják a GDPR-szabályok szigorú betartásával, és azokat kizárólag a működés optimalizálására használják fel.