Logg inn
Min Side
Logg ut
Bli abonnent
En splitter ny elbuss fra kinesiske Yutong ved Nationaltheatret i rute for Ruter på linje 70.

Ruter erkjenner at nye kinesiske busser kan fjernstyres: – Alvorlig for beredskapen i hovedstaden

– Kan stoppes eller gjøres ubrukelig av produsenten, ifølge kollektivselskapet. Det vekker reaksjoner.

Ingri Valen Egeland
Ingri Valen Egeland Journalist
Publisert

Du har sikkert sett dem i bybildet allerede – de elektriske bussene fra den kinesiske produsenten Yutong.

76 elektriske busser er blitt kjøpt fra produsenten og rulles i år ut sørøst i Oslo. 

Det til tross for at Ruter i 2022 garanterte at busselskapet Nobina ikke skulle bruke kinesiskproduserte elbusser i Oslo.

– I denne saken er Nobina ansvarlig for å kjøpe busser og gjennomføre aktsomhetsvurderinger, opplyste Ruters pressetalsperson Øystein Dahl Johansen i en e-post til VårtOslo på tampen av fjoråret.

– Vi har gjort vurderinger av at materiellet som nå er bestilt er innenfor de krav og spesifikasjoner Ruter stiller i kontrakten, het det videre fra administrasjonsselskap for kollektivtrafikken i hovedstadsområdet.

– Avdekker sårbarheter

Ruter har nå selv testet cybersikkerheten i elektriske busser.

Dette i en såkalt «Lion Cage»-test der egne kjøretøy granskes for å se hvor mye data som «lekker» ut, hvor både en av de splitter nye kinesiske bussene fra Yutong samt en tre år gammel buss fra nederlandske VDL har blitt testet ut.

– Formålet var å avdekke mulige cybersikkerhetsrisikoer og sikre kollektivtrafikken mot uønsket aktivitet, etterretningsvirksomhet eller hacking, beskriver Ruter selv om bakgrunnen for at dette ble gjort.

Testen skjedde i en gruve på andre siden av bygrensen, i nabokommunen Bærum, nærmere bestemt i Franzefoss i Sandvika.

– Testene avdekker noen sårbarheter, men gir også konkret kunnskap om hvordan kollektivtrafikken kan beskyttes mot hacking og uønsket aktivitet, hevdes det videre fra Ruters hold.

– Den kinesiske leverandøren har direkte digital tilgang til hver enkelt buss for programvareoppdatering og diagnostikk, inkludert tilgang til styringssystem for batteri- og kraftforsyning, forklarer Ruter om de kinesiske elbussene fra Yutong som har gjort sitt inntog i byen.

Har direkte digital tilgang

To konkrete scenarioer ble tatt nærme i øyesyn, og særlig ett av dem gir grunn til bekymring.

– Den kinesiske leverandøren har direkte digital tilgang til hver enkelt buss for programvareoppdatering og diagnostikk, inkludert tilgang til styringssystem for batteri- og kraftforsyning, forklarer Ruter.

– I teorien kan bussen derfor stoppes eller gjøres ubrukelig av produsenten, legges det videre til.

Scenarioet der dette ble avdekket, handlet om muligheten til å påvirke bussens systemer gjennom skyen.

– Dette sikrer lokal kontroll

– Ruter kan per i dag koble bussen fra internett ved å fjerne SIM-kortet, da all tilknytning til nettet går via dette ene punktet, kommenterer administrasjonsselskapet for kollektivtrafikken selv.

– Dette sikrer at vi beholder lokal kontroll dersom det skulle være nødvendig, fortsetter Ruter, som opplyser at de allerede er i gang med å forberede tiltak som skal sikre at bussene får tilpassede sikkerhetssystemer.

– Dette betyr blant annet å stille enda større krav i anskaffelsesprosessene knyttet til sikkerhet og infrastruktur, heter det videre fra Ruter, som dessuten ser på muligheten for hvordan de kan lage en brannmur som sikrer lokal kontroll og beskytter mot fjernstyring.

Ruter understreker overfor VårtOslo at selv om den kinesiske bussene fra Yutong har fjernoppdateringsfunksjon som gir produsenten digital tilgang til styringssystemer, kan ikke bussens rattstamme styres. 

– Det som er viktig er at vi har gjennomført en undersøkelse for å identifisere eventuelle sårbarheter, og vi arbeider nå med å bygge sikkerhetssystemer som skal forebygge slike hendelser, påpeker pressevakt Karoline Berg i Ruter.

Fakta om testresultatene:

  • Den nederlandske bussen fra VDL har ikke mulighet for fjernoppdatering av programvare og vurderes som mindre sårbar.
  • Den kinesiske bussen fra Yutong har fjernoppdateringsfunksjon, som gir produsenten digital tilgang til styringssystemer.
  • Sårbarheter i en tilknyttet oppdateringsplattform er identifisert og rettet.
  • Teknologien i bussene er fortsatt enkel, og Ruter kan isolere systemene og forsinke signaler for å kontrollere oppdateringer.
  • Testen er utført av Tor Indstøy – VP of Risk Management and Threat Intelligence at Telenor Group og Arild Tjomsland – Special Advisor TTO at the University of Southeast Norway.

Kilde: Ruter

– Har informert myndighetene

– Etter denne testingen går Ruter fra bekymring til konkret kunnskap om hvordan vi kan bygge inn sikkerhetssystemer som beskytter oss mot uønsket aktivitet eller hacking av bussens datasystemer, sier Bernt Reitan Jenssen, administrerende direktør i Ruter, i en pressemelding.

Oslo 20230414. Administrerende direktør i Ruter Bernt Reitan Jenssen under markeringen av oppstart for Indre by-kontrakter, nye busser for miljøvennlig busstilbud og nytt bussanlegg for Oslo.Foto: Beate Oma Dahle / NTB
Ruter-sjef Bernt Reitan Jenssen har tidligere stanset innkjøp av kinesiske elbusser til Oslo, men Ruter godtok til slutt at Nobina satte inn 76 elbusser fra Kina sørøst i byen.

– Vi har også informert nasjonale og lokale myndigheter og samarbeider om å etablere tydelige krav til cybersikkerhet i fremtidige anskaffelser, fortsetter han.

– Neste generasjon busser vil ha større teknologisk integrasjon mellom systemene, noe som vil gjøre det vanskeligere å bygge inn brannmurer, sier Reitan Jenssen.

– Bekymringsfullt

Ruters erkjennelser om de kinesiske elbussene vekker reaksjoner.

– Det er bekymringsfullt at busser i Oslo kan styres og stoppes fra Kina, uttaler gruppeleder i Oslo Arbeiderparti, Marthe Scharning Lund, i en kommentar til VårtOslo.

Marthe Scharning Lund
– Det reiser alvorlige spørsmål om sikkerhet og beredskap i hovedstaden, mener Aps gruppeleder i bystyret, Marthe Scharning Lund.

Dette kan potensielt være alvorlig for beredskapen i Oslo, mener hun.

– Det reiser alvorlige spørsmål om sikkerhet og beredskap i hovedstaden. Nå må Høyre-byrådet på banen, fortsetter Scharning Lund.

– Jeg forventer en grundig gjennomgang for å sikre at beredskapen i byen vår blir ivaretatt. Regjeringen må også være med å vurdere hvilke tiltak som bør settes inn, avslutter Aps gruppeleder i bystyret.

Kamerasystemer ikke koblet til internett

Det andre scenarioet Ruter testet ut når det kommer til cybersikkerhet gikk ut på hvorvidt bussens kameraer kunne brukes til å sende film og bilder som kunne utnyttes til etterretning.

– Testen viste klart at begge bussenes kamerasystemer ikke er koblet til internett, og derfor ikke kan gjøre dette, konkluderer Ruter her med.

Undersøkelsene viste ellers betydelige tekniske forskjeller mellom bussene, ifølge Ruter, som mener dette illustrerer den raske utviklingen i bransjen.

– Kollektivtrafikken i Oslo og Akershus skal ha tilgang til den beste teknologien – og den beste sikkerheten, hevder Ruters administrerende direktør.

– Ruter identifiserer risiko før den blir en trussel og bygger inn riktig beskyttelse, fremfor å stenge ute teknologi basert på frykt, fortsetter Reitan Jenssen.
bernt reitan jenssen cybersikkerhet oslo anbefalt yutong elektriske busser kinesiske elbusser ruter nobina nyhet

Anbefalte artikler

Powered by Labrador CMS