Heeft de Chinese busbouwer Yutong een ‘kill-switch’ ingebouwd in zijn bussen? Kan ’s werelds grootste fabrikant van elektrische bussen en touringcars daarmee zijn voertuigen op afstand manipuleren? De deuren vergrendelen? Misschien de bus zelfs onklaar maken?
In Noorwegen en Denemarken maken ov-bedrijven zich ernstig zorgen over deze vragen. Noors onderzoek naar de bussen van Yutong, die rijden in Noorse en Deense steden én in Nederland, laat zien dat de Chinese fabrikant op afstand toegang heeft tot enkele digitale systemen aan boord van de bussen.
Voorbeelden van misbruik hebben de Noorse en Deense autoriteiten niet gevonden. Desondanks benadrukken ze dat ze hard aan de slag moeten om de cyberveiligheid van de bussen te verbeteren. Ook Nederlandse vervoerbedrijven zijn gewaarschuwd – en dat is relevant nu steeds meer bussen van Chinese makelij hier op de weg verschijnen. De Nederlandse overheid op haar beurt doet onderzoek naar de risico’s op spionage en sabotage van ‘slimme’ voertuigen.
De bevindingen over de elektrische bussen van Yutong in Scandinavië raken fundamentele kwesties rondom digitale veiligheid, strategische autonomie en nationale soevereiniteit in Europa. Zes vragen over de zorgen rond de kill switch.
1Wat is er precies onderzocht in Noorwegen?
Het Noorse ov-bedrijf Ruter voerde eind oktober uitgebreide veiligheidstests uit bij elektrische bussen, van de Chinese fabrikant Yutong en de Nederlandse fabrikant VDL. De tests vonden plaats in een ondergrondse mijn om externe signalen te onderdrukken.
Ruter concludeerde dat de Chinese fabrikant direct digitaal toegang had tot de besturingssystemen, voor software-updates en diagnostiek. Deze toegang was mogelijk door zogeheten over the air-updates uit te voeren. Dat wil zeggen: bussen (en auto’s) krijgen draadloos, rijdend op de weg of stilstaand in de garage, de nieuwste software toegestraald.
Ruter stelde vast dat Yutong via een mobiel netwerk toegang verkreeg tot controlesystemen aan boord, waardoor de bus in theorie „gestopt of onbruikbaar gemaakt kon worden” door de fabrikant. De bus van VDL maakt geen gebruik van on the air-updates.
Volgens het Noorse busbedrijf bestaat er een link van buitenaf naar het controlesysteem voor de batterij, via een simkaart die verbinding maakt met een Roemeense provider. Dat klinkt zorgwekkend. Maar, voegt Ruter er aan toe: er is ‘amper integratie’ met andere systemen in de bus. En het is eenvoudig de bus te ‘isoleren’ van de buitenwereld. Met andere woorden: trek het simmetje eruit en het probleem is verholpen.
Als reactie op het onderzoek gaat Ruter strengere beveiligingseisen opleggen bij toekomstige aanbestedingen en ontwikkelt het firewalls die lokale controle garanderen en die beschermen tegen hacken.
De Noorse bevindingen leidden ook tot opschudding bij het Deense transportbedrijf Movia, dat 262 Yutong-bussen in haar vloot heeft. Movia is hard bezig risicobeoordelingen te herzien en zoekt nu naar manieren om de
2Hoe reageren Nederlandse busbedrijven op de bevindingen?
Nederlandse busvervoerders als Transdev, die Yutong-bussen hebben besteld, hebben contractueel vastgelegd dat op afstand ingrijpen, zoals het stilzetten of aansturen van een voertuig, niet mogelijk mag zijn. Transdev heeft met onafhankelijke experts technische en organisatorische tests uitgevoerd op de digitale veiligheid van de bussen, aldus een woordvoerder. Daaruit kwamen geen kwetsbaarheden naar voren die vergelijkbaar zijn met wat de Noren aantroffen. Transdev gaat wel opnieuw beoordelen om te garanderen dat monitoring op afstand weliswaar mogelijk blijft, maar zonder dat directe besturing of beïnvloeding van de voertuigen kan plaatsvinden.
In Nederland rijden ruim negenduizend bussen in het openbaar vervoer. Circa een kwart komt uit een Chinese fabriek. Dat aandeel groeit de komende jaren omdat Chinese busfabrikanten sneller elektrische bussen kunnen leveren dan westerse fabrikanten. Nederlandse vervoerders, waaronder Qbuzz, Keolis en Transdev, zitten te springen om duurzame bussen omdat hun opdrachtgevers (provincies, steden, vervoerautoriteiten) eisen dat het busvervoer de komende jaren uitstootvrij wordt.
3Hoe reageerde Yutong op de Noorse onderzoeksresultaten?
Yutong verwerpt de beweringen dat haar elektrische bussen die in Europa rijden op afstand vanuit China bestuurd of gedeactiveerd kunnen worden. Zo’n bediening op afstand is „technisch onmogelijk”, aldus het bedrijf tegenover een verslaggever van de Berliner Zeitung, die het bedrijf vorige week bezocht in Zhengzhou.
De fabrikant stelt dat de bussen weliswaar dataverbindingen hebben voor diagnose en software-updates, maar dat er geen fysieke verbinding is tussen de zogeheten telematica-eenheid of T-Box – – en systemen als sturing, aandrijving of remmen.
Volgens Yutong zijn draadloze updates vooral beperkt tot diagnosesoftware, en die worden alleen uitgevoerd met uitdrukkelijke toestemming van de eigenaar van de bussen. Alle voertuiggegevens voor de EU worden volgens de fabrikant versleuteld opgeslagen in een datacenter van Amazon Web Services (AWS) in het Duitse Frankfurt, en uitsluitend gebruikt voor onderhoud en om de prestaties te verbeteren.
4Is de kwetsbaarheid van Yutong-bussen een specifiek Chinees probleem?
Nee. Zowel de Denen als de Noren benadrukken dat van dit probleem niet alleen sprake is bij bussen van Chinese makelij, maar bij alle soorten slimme voertuigen met via internet verbonden elektronica.
De oorzaak is dat slimme (elektrische) voertuigen, ongeacht hun herkomst, kwetsbaar zijn voor spionage en sabotage doordat zij verbonden zijn met externe netwerken. Dit risico geldt voor een breed scala aan technologieën – van Tesla’s en grote tot hijskranen in zeehavens en ‘slimme’ poppen met een camera. De zorgen hierover lijken op de ophef destijds rond apparatuur van de Chinese fabrikant Huawei in het 5G-netwerk van KPN.
Lees ook
China zit al overal in onze netwerken
5Hoe reëel is deze dreiging?
Experts op het gebied van (digitale) veiligheid nemen deze dreiging zeer serieus. De discussie raakt aan het huidige debat over digitale soevereiniteit en nationale veiligheid.
Het is bekend, zeggen deskundigen, dat Chinese partijen op allerlei manieren economische spionage bedrijven. Hoewel de directe toegang van Yutong – in het Noorse onderzoek – beperkt leek tot enkele controlesystemen is de vrees dat het een kwestie van tijd is voordat bussen zijn uitgegroeid tot volledig geïntegreerde en moeilijker te beveiligen systemen.
De opslag van data in het datacenter AWS in Frankfurt biedt geen volledige bescherming, aldus experts, aangezien zowel Amerikaanse als Chinese inlichtingendiensten in theorie toegang kunnen krijgen tot de data.
6Hoe reageren overheden?
Moderne voertuigen zijn computers op wielen en over-the-air updates zijn, sinds Tesla ermee begon, vrij gebruikelijk in de transportsector. Daarom weren de VS liever Chinese voertuigen van Amerikaanse wegen. Begin dit jaar spande de regering-Biden zich in voor een verbod op Chinese software in ‘connected’ voertuigen, uit angst voor sabotage.
Het Nederlandse ministerie van Infrastructuur en Waterstaat stelt dat het „bekend is met de testen in Noorwegen en de acties in Scandinavië”. In Nederland loopt nu onderzoek naar de mogelijke risico’s voor bij Eind dit jaar zal het ministerie de Tweede Kamer melden hoe ver het vervolgonderzoek is.
Volgens het ministerie ligt het voor de hand dat eventuele maatregelen in Europees verband worden genomen. „Het Nederlandse kabinet is met de Europese Commissie in overleg om aandacht te vragen voor de spionage- en sabotagerisico’s van slimme elektrische voertuigen”, laat het ministerie van Infrastructuur weten.
Experts benadrukken dat nu het moment is om regels in te voeren voor cyberveiligheid van auto’s en bussen – voordat die ‘slimme’ voertuigen verder evolueren naar versies met meer autonomie.
Met medewerking van Marc Hijink
Geef cadeau
Deel
Mail de redactie
NIEUW: Geef dit artikel cadeau
Als NRC-abonnee kun je elke maand 10 artikelen cadeau geven aan iemand zonder NRC-abonnement. De ontvanger kan het artikel direct lezen, zonder betaalmuur.