Ведущий транспортный оператор Норвегии Ruter бьет тревогу из-за обнаружения серьезной уязвимости в системе безопасности электробусов китайского производителя Yutong. Внутренняя проверка компании подтвердила, что производитель имеет техническую возможность дистанционно получить доступ к ключевым системам автобусов и вывести их из строя, что создает беспрецедентный риск для стабильности работы общественного транспорта страны.

Источник: The Associated Press

Детали: Обнаруженная уязвимость является практической угрозой, подтвержденной в ходе специализированных тестов, инициированных компанией Ruter. Исследование, проведенное в изолированных подземных шахтах для блокировки внешних сигналов, показало, что китайский производитель имеет удаленный доступ к системам автобусов, в частности, к управлению питанием. Это означает, что автобусы можно остановить или отключить дистанционно.

"Производитель имеет прямой цифровой доступ к каждому отдельному автобусу для обновления программного обеспечения и диагностики. Теоретически это может быть использовано для нарушения работы автобуса", – заявили в Ruter.

В ответ на обвинения, неназванный представитель китайской Yutong Group в комментарии британскому изданию The Guardian заявил, что компания "строго придерживается" местных законов. Он утверждает, что данные зашифрованы, хранятся в Германии и используются исключительно для технического обслуживания. Однако эти заверения не сняли серьезного беспокойства в Норвегии, поскольку сам факт существования такого "черного хода" является критической угрозой безопасности.

В соседней Дании транспортная компания Movia уже начала пересмотр оценки рисков, связанных с кибербезопасностью и шпионажем, опасаясь аналогичных уязвимостей в своем автопарке.

Ruter немедленно начала внедрение мер по минимизации угрозы. Компания срочно разрабатывает брандмауэры для изоляции систем управления автобусами от внешнего доступа, вводит значительно более строгие требования к кибербезопасности при будущих закупках и сотрудничает с правительством для создания национальных стандартов безопасности, чтобы исключить повторение подобной ситуации в будущем. Выявленная уязвимость продемонстрировала, что интеграция иностранных технологий в критическую инфраструктуру без надлежащего контроля несет скрытые риски национального масштаба.