חברת תחבורה ציבורית בנורווגיה מגבירה את הפיקוח – לאחר שבדיקות הראו כי אוטובוסים סיניים יכולים להיעצר מרחוק
מתורגם: אוסלו, נורווגיה (AP) — מפעילת תחבורה ציבורית מרכזית בנורווגיה הודיעה כי תטמיע דרישות אבטחה מחמירות יותר ותשדרג את אמצעי ההגנה מפני פריצות, לאחר שבדיקות שנערכו באוטובוסים חשמליים מתוצרת סין גילו כי היצרן מסוגל לכבות אותם מרחוק.
חברת Ruter, המפעילה כמחצית ממערכת התחבורה הציבורית של נורווגיה, מסרה כי תוצאות הבדיקות שפורסמו בשבוע שעבר הראו שליצרנית הסינית Yutong Group יש גישה למערכות הבקרה של האוטובוסים לצורך עדכוני תוכנה ואבחון תקלות. “תיאורטית, ניתן היה לנצל גישה זו כדי להשפיע על פעילות האוטובוס,” נמסר מהחברה.
הבדיקות – שבוצעו גם במכרות תת-קרקעיים כדי למנוע אותות חיצוניים – נערכו על אוטובוסים חדשים של יוטונג וכן על אוטובוסים בני שלוש מתוצרת ההולנדית VDL. לפי החברה, נמצא כי האוטובוסים ההולנדיים אינם מאפשרים עדכוני תוכנה מרחוק, בעוד שבאוטובוסים הסיניים קיימת אפשרות כזו.
החברה הסינית יוטונג לא הגיבה לפניית סוכנות הידיעות AP.
עיתון The Guardian שדיווח על הנושא ציטט את יוטונג באומרה שהיא “פועלת בהתאם לחוקים ולתקנות המקומיים בכל מדינה שבה היא פועלת”, וכי הנתונים של האוטובוסים מאוחסנים בגרמניה.
העיתון גם ציטט דובר של יוטונג שאמר שהנתונים מוצפנים ומשמשים “אך ורק לצורכי תחזוקה, אופטימיזציה ושיפור השירות ללקוחות לאחר המכירה.”
על פי אתר החברה, יוטונג מכרה בעשורים האחרונים עשרות אלפי רכבים באירופה, אפריקה, אמריקה הלטינית ובאזור אסיה-פסיפיק.
הבדיקה נבעה בין היתר מחשש למעקב, על רקע מגמה עולמית של מדינות באירופה ובצפון אמריקה לנקוט צעדים להגנה על מידע ופעולות מרחוק.
חששות רחבים יותר סביב שליטה מרחוק ברכבים חשמליים
הממצאים הראו כי “ליצרן קיימת גישה דיגיטלית ישירה לכל אוטובוס בודד לצורך עדכוני תוכנה ואבחון,” נמסר מ-Ruter.
החשש משליטה מרחוק ברכבים חשמליים אינו חדש: בתחילת השנה פתחה רשות התחבורה האמריקאית בחקירה נגד טסלה, לאחר דיווחים על תאונות שבהן נעשה שימוש בפונקציה המאפשרת לנהגים לשלוט ברכב מרחוק דרך אפליקציה.
האוטובוסים של יוטונג, יש לציין, אינם אוטונומיים — הם מונעים על ידי נהגים.
מנכ"ל Ruter, ברנט רייטן ינסן, אמר:
> “בעקבות הבדיקות, אנו עוברים משלב הדאגה לשלב הידע המעשי – כיצד נוכל ליישם מערכות הגנה שימנעו פעילות זדונית או פריצות למערכות הנתונים של האוטובוסים.”
לא רק בעיה סינית
בדנמרק השכנה, חברת התחבורה Movia הודיעה כי היא בוחנת מחדש את הערכות הסיכון בתחום הסייבר והריגול התעשייתי בתחבורה הציבורית, ומחפשת דרכים למנוע פריצות או השבתת רכבים.
החברה הדנית הדגישה כי אין דיווחים על מקרים שבהם אוטובוסים הושבתו בפועל, אך היא מחפשת פתרונות לצמצום פגיעוּת.
יועצים מאוניברסיטת דרום-מזרח נורווגיה הציגו את הממצאים בכנס התחבורה InformNorden, והדגישו כי “לא האקר ולא הספק יכולים להשתלט על האוטובוס בפועל.”
לדברי Movia, “אין מדובר בבעיה ייחודית לסין – זהו סיכון הקיים בכל סוגי הרכבים והמכשירים שבהם מותקנים רכיבים אלקטרוניים מהסוג הזה.”
כללי אבטחה מחמירים יותר
לדברי Ruter, המצלמות באוטובוסים אינן מחוברות לאינטרנט, ולכן אין חשש לדליפת תמונות או סרטוני וידאו. עם זאת, צוין כי היצרן עדיין יכול לגשת למערכת הבקרה של הסוללה והחשמל דרך רשת סלולרית – מה שאומר שבאופן תיאורטי ניתן לעצור את האוטובוס מרחוק.
החברה הנורווגית נוקטת כעת צעדים מחמירים:
קביעת כללי אבטחת מידע חדשים במכרזים עתידיים,
פיתוח חומות אש שיבטיחו שליטה מקומית וימנעו פריצה,
שיתוף פעולה עם הרשויות לקביעת “סטנדרטים ברורים להגנת סייבר”,
וכן עיכוב של אותות נכנסים, כדי לאפשר בקרה על עדכונים לפני שיגיעו לאוטובוס.
אשכול 921100