Test sonuçları, Çinli otobüs üreticisinin yazılım güncellemeleri ve teşhis işlemleri için araçların kontrol sistemlerine erişimi olduğunu gösterdi.
Norveç’in önde gelen toplu taşıma işletmecilerinden biri, yeni Çin yapımı elektrikli otobüslerde yapılan bir testin üreticinin araçları uzaktan kapatabildiğini ortaya koyması üzerine daha sıkı güvenlik şartları getireceğini ve siber saldırılara karşı önlemleri artıracağını açıkladı.
Ulaşım işletmecisi Ruter, geçen hafta yayımlanan test sonuçlarının Çinli otobüs üreticisi Yutong Group’un yazılım güncellemeleri ve tanılama amacıyla kontrol sistemlerine erişimi olduğunu gösterdiğini söyledi.
“Teoride bu durum, otobüsün etkilenmesi için kötüye kullanılabilir,” denildi.
Şirket, dış sinyalleri ortadan kaldırmak için otobüslerin yeraltı madenlerinde sürüldüğü testlerin hem fabrikadan yeni çıkmış Yutong otobüsleri hem de Hollandalı üretici VDL’nin üç yaşındaki araçları üzerinde gerçekleştirildiğini belirtti. Testler, Hollanda yapımı otobüslerin uzaktan yazılım güncellemesi (over-the-air) yapma özelliğine sahip olmadığını, Çin yapımı otobüslerde ise bu özelliğin bulunduğunu gösterdi.
Yutong, Çarşamba günü iletilen görüş talebine hemen yanıt vermedi.
Konuyu haberleştiren Guardian gazetesi, Çinli şirketten yapılan ve araçlarının çalıştığı yerlerdeki yasa ve kurallara “kesinlikle uyduğu” belirtilen bir açıklamayı aktardı. Açıklamada, otobüslere ilişkin verilerin Almanya’da saklandığı ifade edildi.
Gazete, ismi açıklanmayan bir Yutong sözcüsünün, verilerin şifrelendiğini ve “yalnızca araçla ilgili bakım, optimizasyon ve iyileştirme amacıyla, müşterilerin satış sonrası hizmet ihtiyaçlarını karşılamak için kullanıldığını” söylediğini aktardı.
Yutong’un internet sitesine göre şirket son birkaç on yılda Avrupa, Afrika, Latin Amerika ve Asya-Pasifik bölgesinde on binlerce araç sattı.
Araştırma, gözetim endişelerinin de etkisiyle başlatıldı. Avrupa, Kuzey Amerika ve başka bölgelerde birçok ülke tüketici verileri ve uzaktan operasyonlara dair bilgileri korumak için adımlar atıyor.
Elektrikli araçların uzaktan kontrolüne dair daha geniş endişeler
Norveç’te toplu taşımanın yarısını işlettiğini ve Oslo ile doğudaki Akershus bölgesinde faaliyet gösterdiğini belirten Ruter, bulguların “üreticinin yazılım güncellemeleri ve tanılama amacıyla her bir otobüse doğrudan dijital erişimi bulunduğunu” ortaya koyduğunu söyledi.
Elektrikli araçların uzaktan kontrolüne ilişkin endişeler yeni değil: ABD düzenleyicileri, sürücülerin bir telefon uygulamasıyla araçlarını uzaktan kendilerine geri gelmesi veya başka bir konuma gitmesi için komut verebilmesini sağlayan şirket teknolojisinin kullanıldığı kazalara dair haberlerin ardından ocak ayında Tesla hakkında bir soruşturma başlattı.
Yutong otobüsleri insanların yönettiği araçlar; Kaliforniya ve Çin gibi yerlerdeki taksi ve servisler gibi sürücüsüz değiller.
“Bu testlerin ardından Ruter, otobüsün veri sistemlerine yönelik istenmeyen faaliyetler veya hack girişimlerine karşı bizi koruyacak güvenlik sistemlerini nasıl hayata geçirebileceğimize dair kaygıdan somut bilgiye geçti,” diye açıklama yaptı Ruter’in CEO’su Bernt Reitan Jenssen.
‘Bu türdeki tüm araçlar’ risk altında
Komşu Danimarka’da ulaştırma şirketi Movia, tarifeli otobüslerde siber güvenlik ve casuslukla ilgili risk değerlendirmelerini, ayrıca hacklenmeyi, veri kötüye kullanımını ve otobüsün devre dışı bırakılması risklerini önlemeye yönelik olası tedbirleri gözden geçirdiğini açıkladı.
Movia, Danimarka makamlarının otobüslerin devre dışı bırakıldığına dair herhangi bir vaka bildirmediğini, ancak zafiyetleri ortadan kaldırmanın yollarını aradıklarını söyledi.
Yeni bulguların, Güneydoğu Norveç Üniversitesi’nden danışmanlar tarafından InformNorden trafik konferansında sunulduğunu ve ne bir siber korsanın ne de tedarikçinin otobüsün kontrolünü ele alabildiğini gösterdiğini belirtti.
“Ayrıca, Norveçli kıdemli danışmanların bunun Çinli otobüslere özgü bir sorun olmadığını, bu tür elektroniklere sahip tüm araç ve cihazlar için geçerli bir problem olduğunu vurguladıklarını belirtmenin de önemli olduğunu,” diye yazdı Movia e-postasında.
Daha sıkı güvenlik kuralları
Filosunda 100’ün üzerinde Yutong otobüs bulunan Ruter, otobüslerdeki kameraların internete bağlı olmadığını, bu nedenle “otobüslerden görüntü veya video aktarımı riski bulunmadığını” söyledi. Ayrıca otobüslerin uzaktan işletilemediğini belirtti.
Yine de Ruter, üreticinin mobil şebeke üzerinden batarya ve güç kaynağına ilişkin kontrol sistemine erişebildiğini söyledi. Bu durumun, teoride otobüslerin “üretici tarafından durdurulabileceği veya çalışamaz hâle getirilebileceği” anlamına geldiğini belirtti.
Norveçli şirket, yanıt olarak gelecekteki tedariklerde daha sıkı güvenlik kuralları uygulayacağını, yerel kontrolü sağlayıp hacklenmeyi önleyecek güvenlik duvarları geliştireceğini ve yetkililerle “net siber güvenlik gereklilikleri” üzerine çalışacağını bildirdi.
Ayrıca gelen sinyalleri geciktirmeye yönelik önlemler alıyor; “böylece güncellemeler otobüse ulaşmadan önce gönderilenler hakkında bilgi sahibi olabiliyoruz.”