De Deense autoriteiten onderzoeken met spoed hoe een mogelijk beveiligingslek in honderden in China geproduceerde elektrische bussen van Yutong kan worden gedicht. De e-bussen zouden op afstand kunnen worden gedeactiveerd. Het onderzoek volgt nadat transportautoriteiten van Ruter in Noorwegen, waar de Yutong-bussen ook in gebruik zijn, ontdekten dat de Chinese leverancier op afstand toegang had tot software-updates en diagnoses van de besturingssystemen van de voertuigen – wat misbruikt kon worden om bussen tijdens het werk te beïnvloeden. 

De Noorse OV-autoriteit Ruter besloot twee elektrische bussen in een geïsoleerde omgeving te testen. Een bus van de Nederlandse fabrikant VDL en een bus van het Chinese Yutong. Terwijl de bus van VDL “geen mogelijkheid heeft tot autonome software-updates over the air”, heeft de bus van Yutong dat wel. “De fabrikant heeft directe digitale toegang tot elke afzonderlijke bus voor software-updates en diagnose.” Het bericht leidde al tot veel ophef in Noorwegen, waar inmiddels 850 e-bussen van Yutong rijden. Maar ook in Nederland. Keolis Nederland, dat vanaf december met Yutong-bussen gaat rijden in Utrecht, zegt tegenover het Financieele Dagblad dat de bussen niet van op afstand geüpdatet zullen kunnen worden. 

Bernt Reitan Jenssen, algemeen directeur van Ruter, vertelde de Britse krant The Guardian: “De tests brachten risico’s aan het licht waartegen we nu maatregelen nemen. Nationale en lokale autoriteiten zijn geïnformeerd en moeten helpen met aanvullende maatregelen op nationaal niveau.” Uit het onderzoek bleek dat deactivering op afstand kon worden voorkomen door de simkaarten van de bussen te verwijderen, maar ze besloten dit niet te doen omdat de bus dan ook losgekoppeld zou worden van andere systemen. 

Ruter zei dat het van plan was strengere beveiligingseisen in te voeren voor toekomstige aanbestedingen. Jenssen zei dat het actie moest ondernemen vóór de komst van de volgende generatie bussen, die mogelijk nog “nog beter geïntegreerd en moeilijker te beveiligen” zouden zijn. 

Movia, het grootste openbaarvervoerbedrijf van Denemarken, heeft 469 Chinese elektrische bussen in gebruik, waarvan er 262 door Yutong zijn geproduceerd. Jeppe Gaard, operationeel directeur van Movia, zei vorige week te horen te hebben gekregen dat “elektrische bussen – net als elektrische auto’s – op afstand kunnen worden gedeactiveerd als hun softwaresystemen webtoegang hebben”. Hij voegde eraan toe: “Dit is geen probleem voor Chinese bussen. Het is een probleem voor alle soorten voertuigen en apparaten met ingebouwde Chinese elektronica.” 

Gaard zei dat het Deense agentschap voor civiele bescherming en rampenbestrijding, Samsik, had aangegeven geen specifieke gevallen te kennen waarin elektrische bussen waren gedeactiveerd, maar waarschuwde dat de voertuigen waren uitgerust met “subsystemen met internetconnectiviteit en sensoren (camera’s, microfoons, gps) die kwetsbaarheden kunnen vormen die kunnen worden uitgebuit om de busactiviteiten te verstoren”. Samsik bevestigde dat het door Movia was gecontacteerd en zei “geen specifieke gevallen van deactivering van elektrische bussen te kennen”. Een woordvoerder van Samsik voegde eraan toe: “De autoriteiten hebben de vervoerssector eerder geadviseerd over de aankoop van Chinese elektrische bussen en staan klaar om bedrijven en autoriteiten te adviseren en begeleiden bij het voorkomen en aanpakken van bedreigingen. 

“Samsik volgt de ontwikkelingen in het gebied en beoordeelt voortdurend of de bestaande richtlijnen en aanbevelingen op dit gebied toereikend zijn. Dit omvat het bepalen van de behoefte aan bijgewerkte informatie of samenwerking met andere autoriteiten om de veiligheidsrisico’s die verband houden met bepaalde technologieën aan te pakken.” 

Yutong zei dat het “strikt voldoet aan de toepasselijke wet- en regelgeving en industrienormen van de locaties waar zijn voertuigen rijden” en dat de gegevens van Yutong-voertuigterminals in de EU worden opgeslagen in een datacenter van Amazon Web Services (AWS) in Frankfurt. Een woordvoerder voegde eraan toe: “Deze gegevens worden uitsluitend gebruikt voor voertuiggerelateerd onderhoud, optimalisatie en verbetering om te voldoen aan de aftersales-servicebehoeften van klanten. De gegevens worden beschermd door middel van opslagversleuteling en toegangscontrole. Niemand mag deze gegevens zonder toestemming van de klant inzien of bekijken. Yutong voldoet strikt aan de EU-wet- en regelgeving inzake gegevensbescherming.” 

Thomas Rohden, voorzitter van de Deense China-Critical Society en regionaal raadslid van de Sociaal-Liberale Partij, zei dat Denemarken “veel te traag” is geweest in zijn afhankelijkheid van Chinese bedrijven. “Dit is een enorm probleem. We zouden niet zo afhankelijk moeten zijn van een land met waarden en idealen die zo verschillen van die van Denemarken,” zei Rohden. Hij voegde eraan toe dat Denemarken, nu het probeert zijn veerkracht te vergroten te midden van beschuldigingen van hybride aanvallen door Rusland, “niet erg veerkrachtig is om volledig afhankelijk te zijn van China”. 

• Deensonderzoek naar mogelijke deactivering op afstand van Chinese e-bussen van Movia. Foto Yutong.