Ruter ha trovato potenziali rischi per la cybersicurezza negli autobus del marchio cinese Yutong, che possono essere accessibili da remoto tramite un “gateway” per controllare i sistemi di controllo del veicolo, insieme ad aggiornamenti remoti over-the-air. L’operatore dei trasporti pubblici norvegese ha condotto test in un ambiente controllato con due autobus, uno nuovo di Yutong e un altro, di tre anni, di VDL, per scopi comparativi, avendo identificato potenziali problemi di accesso non autorizzato ai sistemi operativi del veicolo, che consentono di disabilitarli da remoto o di affrontare altri problemi operativi.
In una dichiarazione, Ruter indica che la sicurezza delle immagini non è in discussione, ma “il fornitore cinese ha accesso digitale ai sistemi di controllo per aggiornamenti ‘software’ e diagnosi. In teoria, questo potrebbe essere sfruttato per influenzare l’autobus. C’è accesso al sistema di controllo della batteria e dell’alimentazione attraverso la rete mobile, tramite una SIM card romena. Pertanto, in teoria, questo autobus potrebbe essere fermato o reso inoperabile dal produttore. C’è un basso grado di integrazione tra i sistemi dell’autobus, e c’è solo un’uscita e accesso alle funzionalità critiche dell’autobus. Questo rende più facile isolarlo dal contatto con il mondo esterno. Possiamo anche ritardare i segnali all’autobus, in modo da poter ottenere informazioni sugli aggiornamenti inviati prima che raggiungano l’autobus. Questi meccanismi sono ora in fase di attuazione”, assicura l’azienda, che sta già sviluppando soluzioni per prevenire potenziali situazioni di rischio, in collaborazione con le autorità di sicurezza. Conferma inoltre che intende implementare requisiti di sicurezza più elaborati per i veicoli da utilizzare, mirando ad agire prima dell’arrivo della prossima generazione di autobus, affinché “diventi più integrato e difficile da proteggere.”
Questo caso ha attirato l’attenzione delle autorità in Danimarca, dove ci sono 262 veicoli Yutong in funzione a servizio della compagnia di trasporti Movia, che, secondo il giornale britannico The Guardian, sta ora indagando su modi per evitare tali rischi informatici nei suoi veicoli. Tuttavia, in dichiarazioni citate dal giornale britannico, il Direttore Operativo di Movia, Jeppe Gaard, spiega che il rischio che gli autobus vengano disattivati da remoto mentre sono connessi alla rete “non è esclusivo degli autobus cinesi. È un problema per tutti i tipi di veicoli e oggetti con componenti elettronici cinesi all’interno”. Non sono stati segnalati problemi di malfunzionamento degli autobus a causa di attacchi informatici, ma è stato sottolineato dall’agenzia di protezione civile e gestione delle emergenze, Samsik, che ci sono sottosistemi che presentano vulnerabilità al corretto e desiderato funzionamento dei veicoli.
Da parte sua, Yutong assicura che i suoi autobus rispettano scrupolosamente tutti i requisiti di cybersicurezza in vigore in Europa, e che i dati raccolti sono conservati nel continente, specificamente nel data center di Amazon Web Services (AWS) a Francoforte, Germania. Secondo The Guardian, un portavoce di Yutong ha dichiarato che i dati raccolti dagli autobus sono relativi “esclusivamente per scopi di manutenzione del veicolo, ottimizzazione e miglioramenti per soddisfare le esigenze del servizio post-vendita dei clienti”.
