Ruter har testet cybersikkerhet: Kinesisk produsent kan fjern-stanse bussen

De aktuelle bussene som ble testet i en såkalt Lion Cage-test var en splitter ny buss fra Yutong (Kina) og en tre år gammel buss fra VDL (Nederland). 

Formålet var å avdekke mulige cybersikkerhetsrisikoer og sikre kollektivtrafikken mot uønsket aktivitet, etterretningsvirksomhet eller hacking.

LES OGSÅ:

Volvo Buss-sjefen i Norge tar oppgjør med «ekstremt prisfokus» og bekymring rundt nye aktører i anbudskonkurransene

To hovedfunn

Testen undersøkte to konkrete scenarier. 

Det første handlet om hvorvidt bussens kameraer kunne brukes til å sende film og bilder som kunne utnyttes til etterretning. 

«Testen viste klart at begge bussenes kamerasystemer ikke er koblet til internett, og derfor ikke kan gjøre dette», skriver Ruter.

Det andre scenariet handlet om muligheten til å påvirke bussens systemer gjennom skyen. 

«Den kinesiske leverandøren har direkte digital tilgang til hver enkelt buss for programvareoppdatering og diagnostikk, inkludert tilgang til styringssystem for batteri- og kraftforsyning. 

I teorien kan bussen derfor stoppes eller gjøres ubrukelig av produsenten», konkluderer Ruter.

Ruter kan per i dag koble bussen fra internett ved å fjerne SIM-kortet, da all tilknytning til nettet går via dette ene punktet. 

«Dette sikrer at vi beholder lokal kontroll dersom det skulle være nødvendig», forsikrer Ruter.

Ifølge Aftenposten har Ruter varslet Samferdselsdepartementet om funnene i testen. 

BusWorld: Mer mangfoldig enn noensinne

Fra bekymring til konkret kunnskap

Etter Lion Cage-testen i Franzefoss i Sandvika, sitter Ruter igjen med det de omtaler som veldig nyttig erfaring.

– Etter denne testingen går Ruter fra bekymring til konkret kunnskap om hvordan vi kan bygge inn sikkerhetssystemer som beskytter oss mot uønsket aktivitet eller hacking av bussens datasystemer, sier Bernt Reitan Jenssen, administrerende direktør i Ruter.

Allerede i gang med tiltak

Ruter opplyser at de allerede er i gang med å forberede tiltak som skal sikre at bussene får tilpassede sikkerhetssystemer. 

Dette betyr blant annet å stille enda større krav i anskaffelsesprosessene knyttet til sikkerhet og infrastruktur. I tillegg ser Ruter på hvordan de kan lage en brannmur som sikrer lokal kontroll og beskytter mot fjernstyring.

– Vi har også informert nasjonale og lokale myndigheter og samarbeider om å etablere tydelige krav til cybersikkerhet i fremtidige anskaffelser, sier Jenssen.

Gøteborg gjør som Stavanger

Teknologisk tidsvindu for å gjøre sikkerhetstiltak

Undersøkelsene viste betydelige tekniske forskjeller mellom bussene, noe som illustrerer den raske utviklingen i bransjen.

– Neste generasjon busser vil ha større teknologisk integrasjon mellom systemene, noe som vil gjøre det vanskeligere å bygge inn brannmurer. Vi har derfor et teknologisk tidsvindu for å implementere nødvendige sikkerhetstiltak akkurat nå. Dette er gode nyheter, og vi er allerede i gang med å forberede tiltak, som vil øke motstandsdyktigheten vår betraktelig, sier Jenssen.

– Kollektivtrafikken i Oslo og Akershus skal ha tilgang til den beste teknologien – og den beste sikkerheten. Ruter identifiserer risiko før den blir en trussel og bygger inn riktig beskyttelse, fremfor å stenge ute teknologi basert på frykt, avslutter Bernt Reitan Jenssen.

Vurderer 25-meters metrobuss i Oslo-området – her er erfaringene og utfordringene