A Ruter encontrou potenciais riscos de cibersegurança nos autocarros da marca chinesa Yutong, que podem ser acedidos remotamente a partir “porta de acesso” para controlar os sistemas de controlo dos veículos, em paralelo com as atualizações remotas over-the-air. A , operadora norueguesa de transportes públicos efetuou testes em ambiente controlado com dois autocarros, um novo da Yutong, e outro, com três anos, da VDL, para efeitos comparativos, tendo sido identificados problemas potenciais com o acesso indevido a sistemas de funcionamento dos veículos, permitindo que sejam desativados à distância, ou que enfrentem outros problemas de operação.
Em comunicado, a Ruter indica que a segurança das imagens não está em causa, mas “o fornecedor chinês tem acesso digital aos sistemas de controlo para atualizações de ‘software’ e diagnósticos. Em teoria, isto poderia ser explorado para afetar o autocarro. Existe acesso ao sistema de controlo da bateria e da fonte de alimentação através da rede móvel, por meio de um cartão SIM romeno. Em teoria, portanto, este autocarro pode ser parado, ou tornado inoperante, pelo fabricante. Existe um baixo grau de integração entre os sistemas do autocarro, e há apenas uma saída e acesso à funcionalidade crítica do autocarro. Isso facilita isolá-lo do contacto com o mundo exterior. Também podemos atrasar os sinais para o autocarro, para que possamos obter informações sobre as atualizações enviadas antes que elas cheguem ao autocarro. Esses mecanismos estão agora a ser implementados”, garante a a empresa, já a desenvolver soluções para impedir eventuais situações de risco, num trabalho efetuado em articulação com autoridades de segurança. Afiançando, ainda, que pretende implementar requisitos de segurança mais elaborados para veículos a utilizar, devendo atuar antes da chegada da próxima geração de autocarros, para que “se torne mais integrada e difícil de proteger”.
Este caso chamou a atenção das autoridades da Dinamarca, onde existem 262 veículos da Yutong em operação ao serviço da transportadora Movia, que, de acordo com o jornal britânico The Guardian, está agora a investigar formas de evitar esse tipo de riscos de cibersegurança nos seus veículos. Porém, em declarações citadas pelo jornal britânico, o Diretor de Operações da Movia, Jeppe Gaard, explica que o risco de os autocarros serem desativados remotamente se estiverem ligados em rede “não é exclusivo dos autocarros chineses. É um problema para todos os tipos de veículos e de objetos com componentes eletrónicos chineses no interior”. Não foram relatados problemas de mau funcionamento dos autocarros devido a ataques informáticos, mas foi avançado pela agência de proteção civil e gestão de emergências, a Samsik, que existem subsistemas que acarretam vulnerabilidades para o funcionamento correto e desejado dos veículos.
Por seu turno, a Yutong garante que os seus autocarros cumprem escrupulosamente todos os requisitos de segurança informática em vigor na Europa, e que os dados recolhidos ficam preservados no continente, mais concretamente no centro de dados da Amazon Web Services (AWS), de Frankfurt, na Alemanha. Ainda de acordo com o The Guardian, um porta-voz da Yutong declarou que os dados recolhidos pelos autocarros dizem respeito “meramente para efeitos de manutenção dos veículos, otimização e melhorias para irem ao encontro das necessidades de serviço após-venda dos clientes”.
