ИБ-службы скандинавских стран бьют тревогу из-за недокументированной функции, найденной в ПО городских автобусов Yutong. Угроза отнесена к числу сверхкритичных для безопасности страны. Был ли злой умысел со стороны китайского вендора или это часть технологии? Автобусов Yutong немало и в России.
- Введение
- Последствия угрозы
- Продолжение в Дании
- Электробусы Yutong в России
- А есть ли повод для беспокойства вообще?
- Дистанционное управление: новая опция или уязвимость?
- Электробусы, автопилоты… в России
- Прогресс или мошенничество?
- Выводы
Введение
В начале ноября представитель норвежского агентства Ruter по надзору над общественным транспортом сообщил: после аудита безопасности ПО, которое используется в городских электробусах китайской компании Yutong, были обнаружены незадокументированные функции.
Оказалось, китайский производитель скрытно добавил возможность дистанционного управления встроенным оборудованием, в том числе системой диагностики и контроля электробусов. Была даже обнаружена возможность дистанционного отключения этих систем.
Проверка проводилась в изолированном помещении в так называемой клетке Фарадея — замкнутом пространстве, экранированном от внешних электромагнитных полей с помощью металлической сетки. Считается, что подобная конструкция позволяет надёжно блокировать распространение внешних электромагнитных радиосигналов.
Исследование показало, что в модуле дистанционного управления есть функция, позволяющая отключать диагностику, а также команды для управления системой контроля аккумуляторов и питания.
В отчёте Ruter, направленном в адрес норвежского правительства, говорится: «теоретически китайский производитель может прервать работу этих систем или сделать автобусы непригодными для последующей эксплуатации».
Рисунок 1. Автобусы Yutong в Норвегии (источник: Ruter)
Позднее Ruter направило уточнение, что очевидных доказательств совершения каких-либо внешних вторжений в работу городских автобусов в Норвегии до сих пор не регистрировалось. Поэтому возможность продолжения их эксплуатации допускается.
Представитель агентства сообщил об аналогичной параллельно проведённой проверке городских автобусов голландской компании VDL, также эксплуатируемых в Норвегии. Таких функций контроля, как у Yutong, в них не было выявлено. Официально утверждается, что западные технологические компании осуждают подобную практику добавления скрытых, недокументированных функций, которые были обнаружены у Yutong, сообщил представитель Ruter.
Последствия угрозы
Следствием сделанного «открытия» стало срочное распоряжение агентства Ruter: на всех автобусах Yutong (300 штук в Осло и 550 в других частях страны) отключить возможность интернета в салоне путём удаления SIM-карт из бортовых модемов. Суммарный парк всех электробусов, находящихся в эксплуатации в Норвегии, насчитывает сейчас 1300 машин, т. е. отключение коснулось 65,4 % автопарка страны.
Попутно выяснилось, что в автобусах Yutong были установлены SIM-карты румынского оператора. В публикациях прессы отмечается, что выбор SIM-карт не был документирован.
Представители ИБ-служб Норвегии выразили разочарование «наивностью политиков» и заявили, что к выявленному риску следует отнестись серьёзно: нужно усилить регуляторные требования, установить файрволы, повысить требования к облачным операциям и в целом ограничить действия с оборудованием транспортных средств, если команды приходят из-за пределов страны.
Продолжение в Дании
Сообщение норвежского агентства Ruter породило эффект цепной реакции. Ситуация подогревалась тем, что Yutong – это крупный китайский автопроизводитель: на его долю приходится 10 % мирового рынка поставок электробусов.
Обеспокоенность относительного «фичи» сразу высказали в соседней Дании. Например, Йеппе Гаард, COO компании Movia, крупнейшей датской эксплуатационной компании общественного транспорта, заявил, что в Дании находится в эксплуатации 469 китайских электробусов, 262 из которых (55,8 %) произведены компанией Yutong. «Это проблема не только китайских автобусов. Она актуальна для всех типов транспортных средств и устройств со встроенной китайской электроникой», — подчеркнул представитель Movia.
В ответ компания Yutong заявила, что все данные, собираемые с транспортных средств Yutong в ЕС, хранятся в ЦОД Amazon Web Services (AWS) во Франкфурте на территории ЕС. «Эти данные предназначены исключительно для технического обслуживания автопарка, оптимизации и улучшения работы транспортных средств для удовлетворения потребностей клиентов в послепродажном обслуживании. Данные защищены шифрованием и мерами контроля доступа. Никто не имеет права доступа к ним или просмотра без разрешения клиента». Производитель подчеркнул, что строго соблюдает законы и нормативные акты ЕС о защите данных.
В других странах ЕС также не стали паниковать. Например, The Guardian приводит следующее объяснение, как могли появиться обнаруженные функции в транспортном оборудовании: это могло быть связано со стремлением производителя снизить эксплуатационные расходы при технической поддержке своих изделий по всему миру. «Возможность дистанционной диагностики и внесения изменений уже встречалась ранее в других промышленных изделиях китайских компаний. Например, подобные функции удалённого доступа применяются в портовых кранах или китайских умных автомобилях», — отмечает издание.
Удалённый доступ для обновления ПО и обслуживания устройств встречается также в инвенторах мощности, производимых в Китае. Они эксплуатируются по всему миру: например, широко применяются для подключения солнечных панелей и ветряных турбин к электросетям.
Электробусы Yutong в России
Автобусы Yutong активно используются в России: продажи ведутся через официальных дилеров, налажена техническая поддержка. То же самое касается и электробусов этого производителя. Они встречаются среди городского общественного транспорта, принадлежащего в основном коммерческим компаниям, и наиболее широко представлены в сегменте туристических автобусов.
Рисунок 2. Продажа автобусов Yutong в России
Высокая популярность этого транспорта в нашей стране объясняется в том числе демократичными ценами. Чтобы убедиться в этом, достаточно посмотреть предложения о продаже. Также по запросу «автобусы Yutong в России» в поисковике выходят сотни фотографий.
Рисунок 3. Снимки из поисковой выдачи с автобусами Yutong в России
Известно, что Москва активно закупает в последнее время электробусы для общественного транспорта. Например, в 2025 году планировалось приобрести 400 экземпляров за более чем 29 млрд рублей. Наша проверка показала, что выбор пал на отечественного производителя — ПАО «Камаз». В частности, в 2025 году начались закупки новой модели электробусов «КАМАЗ-52222», поэтому риски, с которыми столкнулись Норвегия и Дания, не распространяются на Москву.
А есть ли повод для беспокойства вообще?
Формально на этом можно было бы закончить расследование. Но автобусы Yutong широко представлены в России как туристические модели, и также их немало среди городских автобусов коммерческих транспортных компаний. Поэтому имеет смысл разобраться, зачем крупный китайский производитель пошёл на такой «риск». Выявить каналы удалённого доступа не так сложно, при этом сам китайский вендор, похоже, не особенно и скрывает их наличие, заявляя, что строго соблюдает местные законы.
Но давайте посмотрим на проблему шире.
Мэрия Москвы производит закупки в 2025 году 700 электробусов марки «КАМАЗ-52222», которые производитель относит к новому поколению A5. Характерная черта – использование новых «умных» систем управления и дистанционного обслуживания. Как отмечал в августе этого года генеральный директор ГУП «Мосгортранс» Николай Асаул на форуме «Беспилотные системы: технологии будущего», среди поставляемых в этом году новых электробусов будет 5 экспериментальных моделей с функцией автономного управления (автопилотом).
«В части электробусов в 2027 году мы планируем начать использование частично автономных систем управления. Очевидно, что водитель там будет находиться, но возможность дистанционно управлять электробусом у нас появится», – заявил Николай Асаул, добавив, что к 2030 году 80 % парка Мосгортранса планируется перевести на электробусное движение.
Сделаем вывод: функция дистанционного управления может быть не только «тайной закладкой для мошеннических или разрушительных действий», но и необходимой опцией для реализации качественно новых функций, которые отсутствуют у автобусов прежних моделей.
Дистанционное управление: новая опция или уязвимость?
Есть соблазн сделать предположение, что компания Yutong могла добавить «секретную опцию дистанционного управления» именно ради развития концепции общественного транспорта и наделения его новыми свойствами.
Как оказалось, ещё в начале сентября Yutong представила международную версию своей платформы Link+, отражающую новую концепцию развития общественного транспорта — интернет транспортных средств (IoV) следующего поколения. Платформа Link+ появилась как результат модернизации прежней платформы — Vehicle+ (V+) (Yutong Global Bus V+ITS), которая представляет собой набор сервисных функций (Information Technology Services, ITS) для технического обслуживания автопарка, в том числе защищённого интеллектуального управления машинами.
Технологию IoV нередко связывают с развитием «умных» городов. Она является неотъемлемой частью для построения интеллектуальных транспортных сетей и создания инфраструктуры для автономного вождения в будущем. Воплощение IoV требует широкого развития сетей 5G, ИИ, технологий больших данных.
С точки зрения архитектуры для работы с платформой Yutong Global Bus V+ITS используется интеллектуальный терминал iCard, через который предоставляются сетевые услуги операторам транспортных средств. В качестве хаба — настольный ПК или мобильные устройства.
Рисунок 4. Дистанционный контроль за движением транспорта через Yutong Global Bus V+ITS
Платформа обеспечивает безопасность движения транспортных средств (ТС), включая комплексную защиту оборудования, данных, сетей и пользователей. Реализованы мониторинг движения транспорта в режиме реального времени, раздача оповещений, работает ограничение параметров движения с учётом дорожной ситуации и других требований.
Отслеживание местоположения онлайн обеспечивает облачное управление парком, позволяет раздавать сигналы тревоги с учётом собранных данных о местоположении ТС. Система управляет скоростным режимом движения транспорта, может автоматически отключать подогреватели топлива и батарей, контролировать заряд аккумуляторов, в том числе с учётом расстояния до зарядной станции.
Теперь в новых моделях электробусов внедряется платформа Link+. Она умеет строить карту геозонирования, позволяя интеллектуально ограничивать скорость движения в определённых зонах, корректировать температуру в салоне с учётом внешних условий и тепловыделения, снижать расход электроэнергии, выявлять закономерности, приводящие к высокому расходу, и предлагать стратегии для снижения затрат, основываясь на реальных данных.
Рисунок 5. Система Link+ для интеллектуального управления автобусами Yutong
После обнаружения норвежским агентством модема с румынскими SIM-картами «картинка» качественно меняется. Вместо развития смарт-технологий теперь заговорили о «преднамеренном риске для национальной безопасности». Конечно, вызывает недоумение, почему об использовании таких средств не было сказано в документации вендора Yutong? Норвежцы плохо читали её? Китайская сторона не отразила этого факта (например, из-за необходимости согласования с регуляторными органами)?
В версию, что китайский вендор хотел таким способом скрыть свои «враждебные намерения», верится слабо, как и в некомпетентность норвежских, а затем и датских ИБ-специалистов. Это больше похоже на «преднамеренный новостной шум» регулятора, которого таким образом «обошли» при выходе на рынок.
Электробусы, автопилоты… в России
Какая бы ни была причина происшествия в Норвегии, очевидно, что проблема явно указывает на необходимость проведения ИБ-аудита транспортных систем. Напрашивается также необходимость постановки общественного транспорта под контроль SOC.
Предусмотрено ли это для электробусов ПАО «Камаз» нового поколения, экспериментальные модели которых уже поставляются в Москву? Нам об этом неизвестно. ДИТ (Департамент информационных технологий г. Москвы) не предоставляет такую информацию.
Вызывает также много вопросов тотальное отсутствие сетей 5G в Москве. Если новые модели электробусов отнесены к поколению A5, то как они будут поддерживать свои функции?
Летом этого года Яндекс сообщал, что совокупный пробег его автономных автомобилей уже превысил 28 млн километров. Этот показатель оказался одним из самых высоких в мире среди аналогичных проектов.
Яндекс развивает свои системы автопилота для автономного транспорта с 2017 года, стартовав одновременно с китайской системой Baidu Apollo. Но если Яндекс ориентировался прежде всего на создание автопилота для беспилотных автомобилей, опираясь на опыт американских компаний, которые стартовали намного раньше с аналогичными разработками, то китайский вендор Baidu сразу рассматривал в качестве целей беспилотные автобусы.
Уже в 2019 году китайские автопроизводители перестали «скрывать» результаты собственных исследований и разработок. Тогда же Yutong запустил разработку интеллектуального автобуса 5G, выпустив для опытной эксплуатации на испытательную кольцевую трассу Чжэнчжоу четыре 5-метровых автономных автобуса класса L4 Xiaoyu.
Для полноценной интеграции «транспортное средство – дорога – сеть – облако – регулирование» было создано новое поколение интеллектуальной сетевой транспортной системы с комплексным взаимодействием. Некоторые результаты этих разработок уже просматриваются в платформе Link+.
Рисунок 6. Автобусы Yutong с полуавтономным автопилотом
Очевидно, что эти смарт-системы скоро будут предлагаться для внедрения на российском рынке. Сумеет ли Яндекс доработать свою систему автопилота к этому времени? Ведь иначе «риски», которые были обнаружены норвежским агентством, появятся и в России. К сожалению, мы не смогли получить комментария на эту тему от Яндекса.
Прогресс или мошенничество?
Как же всё-таки относиться с точки зрения безопасности к грядущему появлению средств дистанционного управления в транспортных средствах? Это элемент развития смарт-устройств для «умного города» или риск безопасности? Подобные вопросы уже возникают в мире.
Характерна ситуация в мае этого года, когда Reuters сообщил об обнаружении «мошеннических» устройств связи в составе китайских солнечных панелей, обратив внимание, что существование этих коммуникационных каналов не отражено в документации. Эксперты ИБ сразу заявили о рисках для национальной безопасности, поскольку дистанционное управление через эти модемы позволяло обходить межсетевые экраны и допускало возможность удалённого отключения инверторов.
Эксперты предупредили, что фактически возникает риск разрушения связности электросети. Это может привести к массовым отключениям подачи электроэнергии на территориях, где установлены подобные солнечные панели. Бывший директор АНБ США Майк Роджерс заявил тогда: «Мы знаем, что Китай считает для себя целесообразным создавать риски, позволяющие приводить к уничтожению или сбоям хотя бы для некоторых элементов нашей основной инфраструктуры».
Какую сторону выбрать: прогресс или запрет? Пока этот вопрос не стоит так остро, но он без всякого сомнения станет более актуальным. Дебаты в Норвегии и Дании – это только первые признаки «непонимания».
Выводы
Развитие «умных» технологий неизбежно ведёт к появлению рисков для ИБ, на которые придётся реагировать. При развитии отечественных технологий и внедрении российских изделий должна быть реализована программа безопасной разработки. Если же внедрять иностранные решения, то необходимо создавать в дополнение к ним средства, гарантирующие безопасность.
Риски вредоносного дистанционного управления пока не сильно велики в смарт-технологиях и ИИ. Но вряд ли это будет продолжаться бесконечно.
