Cybersicurezza: il caso Ruter – Yutong, spiegato bene

“Ma se dalla Cina qualcuno prendesse da remoto il controllo degli autobus elettrici che sono in strada qui in Europa?”, è la domanda, o meglio, la paura che si è scatenata in seguito a un test effettuato da Ruter, azienda di trasporto di Oslo e Akershus (Norvegia), secondo il quale quel qualcuno, ovvero il fornitore-costruttore Yutong, potrebbe prendere il controllo da remoto di un autobus in viaggio sulle strade della Scandinavia.

Abbiamo iniziato con una domanda, proseguiamo ora con una risposta: no, non è possibile. Come peraltro dichiarato dalla stessa Yutong, che ha sentenziato: “il controllo da remoto è tecnicamente impossibile“.

Ma facciamo un passo indietro e spieghiamo come è nata la questione di cui si sta largamente scrivendo e parlando tra gli addetti ai lavori del mondo bus&coach.

Il test di Reuter su un autobus della cinese Yutong

L’operatore norvegese ha pubblicato un report in seguito all’esame condotto su due diversi autobus elettrici: uno dell’Oem di Zhengzhou, l’altro del costruttore europeo (ed olandese) VDL. Ruter racconta di aver condotto verifiche approfondite sui due e-bus; al termine dei test è emerso che il veicolo di Yutong – modello U12 – è in grado di ricevere aggiornamenti da remoto per quanto concerne la parte di software, il tutto grazie a una scheda Sim rumena integrata a bordo del mezzo. Ciò detto, Ruter ha anche di dichiarato di non aver trovato alcuna traccia di attività remota che potesse interferire con il regolare lavoro e servizio del torpedone. Che in soldoni significa che nessuno da remoto ha operato per controllare in qualche l’e-bus.

Fatta la scoperta della Sim, però, Ruter ha deciso di rimuovere la scheda incriminata e di voler stringere le maglie in materia di sicurezza cloud dei futuri mezzi che arriveranno in flotta. L’amministratore delegato Bernt Reitan Jenssen ha puntualizzato come l’azienda in futuro inasprirà le regole in materia di firewall e di come sia stato necessario intervenire quanto prima per un discorso di “sovranità dei dati”. Insomma, di chi ha in mano le chiavi digitali del mezzo.

La risposta di Yutong

La replica di Yutong non si è fatta attendere e da Zhenghzou hanno rispedito al mittente qualsiasi accusa di controllare da remoto il funzionamento dei propri bus. Secondo l’azienda cinese, infatti, pur essendo i veicoli dotati di connessione dati per diagnostica e aggiornamenti OTA, non esiste alcuna connessione fisica tra l’unità telematica e i sistemi critici per la sicurezza come lo sterzo, la propulsione e il sistema di frenata.

Ma non solo: Yutong ha chiarito che tutti i dati dei veicoli destinati al mercato europeo sono conservati su server Amazon Web Services situati a Francoforte, utilizzati esclusivamente per manutenzione e ottimizzazione delle prestazioni, e protetti da crittografia e protocolli di accesso limitato.

Il costruttore ha inoltre specificato che gli aggiornamenti OTA vengono effettuati solo con l’esplicito consenso dell’operatore e sono limitati a funzioni di comfort, interfaccia e diagnostica, senza influenzare i sistemi di controllo del veicolo. Alcune funzionalità remote, come la pre-condizionazione della temperatura dell’abitacolo, sono gestite interamente dall’operatore locale, senza accesso diretto da parte di Yutong.

Insomma, per concludere, sicuramente esiste una questione di cybersicyrezza che deve essere dipanata come una matassa e a tal proposit Ruter ha comunicato di essere al lavoro per mettere in atto misure di protezione della flotta e di aver avvitato un dialogo con le autorità nazionali per definire standard chiari in materia di cybersicurezza, appunto. D’altronde i mezzi di oggi sono molto più moderni e connessi di qualsiasi altro veicolo di qualche anno fa, integrando sistemi altamente tecnologici per comunicare con la casa madre – per manutenzione e diagnostica – ma pensare che da migliaia e migliaia chilometri di distanza Yutong (o un altro costruttore) possa controllare in toto i propri mezzi è ancora fantascienza.