Hundrevis av kinesiskproduserte elbusser i Norge og Danmark kan fjernstyres – og i verste fall fjerndeaktiveres. Nye tester fra Ruter avdekket skjulte SIM-kort i Yutong-busser og mulighet for ekstern kontroll. Myndigheter i begge land har satt i gang hasteundersøkelser.

Hasteundersøkelser etter alarmerende funn

Danske og norske myndigheter gransker nå sikkerheten i elbusser etter at Ruter publiserte testresultater som viste at den kinesiske produsenten Yutong hadde fjerntilgang til kjøretøyenes kontrollsystemer for programvareoppdateringer og diagnostikk.

Testene ble gjennomført i et isolert miljø – busser ble kjørt i underjordiske gruver for å fjerne eksterne signaler. Undersøkelsene omfattet både splitter nye Yutong-busser og tre år gamle kjøretøy fra nederlandske VDL.

Dette er omfanget

• I Norge er om lag 850 av 1.300 elektriske busser produsert av Yutong.
• I Danmark har Movia 469 kinesiske elbusser i drift, hvorav 262 fra Yutong.

Konsekvensen er at hundrevis av busser i daglig drift potensielt kan stoppes eller gjøres ubrukelige av produsenten.

Ruters konklusjoner og tiltak

Ruters administrerende direktør Bernt Reitan Jenssen bekrefter at testene avdekket risikoer som krever handling.

Testene avdekket risikoer som nå krever tiltak både lokalt og nasjonalt.

Selskapet innfører nå strengere sikkerhetskrav i fremtidige anskaffelser, utvikler brannmurer for lokal kontroll og mot hacking, og vil samarbeide med myndighetene om klare cybersikkerhetskrav. Jenssen advarer om at selskapet må handle før neste generasjon busser kommer, som kan bli «enda mer integrerte og vanskeligere å sikre».

• Ruter vurderte å fjerne SIM-kort, men avsto fordi det også ville koble bussene fra andre nødvendige systemer.
• Selskapet presiserer at kameraene ikke er koblet til internett, og at det ikke er funnet bevis for ondsinnet aktivitet.

Myndigheter og operatører: ikke bare et bussproblem

Movias driftsdirektør Jeppe Gaard peker på at utfordringen strekker seg utover én produsent.

Det er et problem for alle typer kjøretøy og enheter med kinesisk elektronikk innebygd.

Elektriske busser, som elektriske biler, kan fjerndeaktiveres hvis programvaresystemene deres har nettilgang.

Det danske beredskaps- og krisestyringsdirektoratet Samsik bekrefter at de er kontaktet av Movia, men de kjenner ikke til konkrete tilfeller der busser er deaktivert. Samtidig advarer de:

Kjøretøyene er utstyrt med «delsystemer med internettforbindelse og sensorer (kameraer, mikrofoner, GPS) som kan utgjøre sårbarheter som kan utnyttes til å forstyrre bussdriften».

Hva sier Yutong?

Yutong avviser at de håndterer data uforsvarlig, og opplyser at de følger strenge krav.

Selskapet «strengt følger gjeldende lover, forskrifter og industristandarder i områdene der kjøretøyene deres opererer».

Ifølge Yutong lagres kjøretøydata i EU i et AWS-datasenter i Frankfurt, beskyttet med lagringskryptering og tilgangskontroll.

«Ingen har tillatelse til å få tilgang til eller se disse dataene uten kundens autorisasjon.»

Politisk reaksjon og internasjonal oppmerksomhet

Thomas Rohden, leder av det danske China-Critical Society og regionalpolitiker for Det Radikale Venstre, mener Danmark har vært for trege.

Dette er et enormt problem. Vi burde ikke være så avhengige av et land som har verdier og idealer så forskjellige fra Danmark.

Er det ikke særlig motstandsdyktig å være totalt avhengig av Kina.

Saken omtales bredt internasjonalt, blant annet av The Guardian, US News og teknologinettstedet Electrive. Det norske transportdepartementet har så langt avslått å kommentere.

Debatten om kritisk infrastruktur og avhengighet av kinesisk teknologi tiltar. Neste steg blir hvordan norske og danske myndigheter, sammen med operatører, spesifiserer og håndhever cybersikkerhetskrav før den neste bølgen av mer integrerte busser rulles ut.