Çin yapımı otobüslerde uzaktan erişim özelliği bulunmasının ardından Norveç siber güvenlik incelemesi başlattı

 (scandasia.com)
1 puan yazan GN⁺ 2025-11-06 | 1 yorum | WhatsApp'ta paylaş
  • Norveç toplu taşıma işletmecisi Ruter, Çinli Yutong elektrikli otobüslerde gizli bir SIM kartı tespit etti; bunun ardından hükümet siber güvenlik incelemesi başlattı
  • İç testlerde Romanya SIM kartı doğrulandı; teorik olarak tedarikçinin araçları uzaktan durdurma veya yazılımı manipüle etme ihtimali bulunuyor
  • Ruter, kötüye kullanım olduğuna dair bir kanıt olmadığını söyledi ancak bu keşfin şüphe aşamasından somut olgu aşamasına geçiş anlamına geldiğini belirtti
  • Şirket, SIM kartlarını çıkardı ve tedarik kuralları, güvenlik duvarı ve bulut güvenliği gereksinimlerini sıkılaştırarak operasyonların kontrolünü yerelleştirdi
  • Yaklaşık 1.300 elektrikli otobüsün 850’si Yutong ürünü ve bu olay yabancı teknoloji tedarik zincirlerinin güvenlik risklerini öne çıkarıyor

Norveç'in siber güvenlik incelemesi başlatması

  • Norveç, Çin yapımı Yutong elektrikli otobüslerde gizli bir SIM kartı bulunmasının ardından ulusal düzeyde bir siber güvenlik denetimi başlattı
    • Söz konusu otobüsler kamu ulaşım işletmecisi Ruter tarafından kullanılıyor ve SIM kartı iç güvenlik tesislerinde yapılan testler sırasında bulundu
    • Bu SIM kartı, uzaktan erişim ve araç kontrolü olasılığı barındırıyordu
  • Ruter, Çinli tedarikçinin araçları durdurma veya yazılım güncellemeleri üzerinden müdahale etme yönünde teorik bir olasılığa sahip olduğunu açıkladı
    • Ancak fiili bir kötüye kullanım vakası olmadığını ve bu keşfin “şüpheden somut olguya geçiş” anlamına geldiğini belirtti

Ruter'in aldığı önlemler

  • Ruter, derhal SIM kartlarının çıkarılmasını tamamladı ve tedarik süreçleri ile iç güvenlik yapısını güçlendirmeye başladı
    • İç güvenlik duvarı ve bulut güvenliği gereksinimlerini güçlendirerek tüm ulaşım operasyonlarında yerel kontrol yetkisini güvence altına almayı hedefliyor
  • Şirket, tedarik zinciri güvenliğini artırmak için gelecekteki ihale ve sözleşme koşullarını yeniden gözden geçiriyor

Hükümetin tepkisi ve politika yönü

  • Norveç Ulaştırma Bakanı Jon-Ivar Nygård, kamu yayıncısı NRK ile yaptığı röportajda,
    Norveç'in güvenlik ittifakları dışında kalan ülkelerden tedarikçilerin risk değerlendirmesinin sürdüğünü açıkladı
    • Ayrıca kritik altyapının korunması gereğini vurguladı
  • Hükümet, bu olayın ardından kamu ulaşım sistemlerinin dijital güvenlik standartlarını yeniden gözden geçiriyor

Elektrikli otobüs işletimi ve risk değerlendirmesi

  • Norveç'te yaklaşık 1.300 elektrikli otobüs hizmet veriyor ve bunların yaklaşık 850’si Yutong ürünü
    • Yalnızca Oslo ve Akershus bölgesinde yaklaşık 300 araç çalışıyor
  • Ruter, fiili bir müdahale girişimi olasılığını düşük gördüğünü,
    ancak bu olayın yabancı teknoloji tedarikçileriyle bağlantılı siber güvenlik risklerindeki artışı gösterdiğini söyledi

Uluslararası bağlam

  • Çin yapımı elektrikli otobüslerin küresel ölçekte yaygınlaşması, özellikle Güneydoğu Asya pazarındaki genişleme ile birlikte
    bu olay, kamu ulaşım sistemlerinin dijital bağımlılığı ve stratejik kırılganlığına dair kaygıları artırıyor
  • Ruter CEO'su Bernt Reitan Jenssen, “Bu otobüslerin kötüye kullanılma ihtimali düşük, ancak risk ciddiyetle ele alınmalı” dedi

Kaynak metinde ek bilgi yok

İlgili okumalar

1 yorum

 
GN⁺ 2025-11-06
Hacker News yorumları

  • Demiryolu güvenliği alanında çalışıyorum. Birkaç yıl önce iki büyük Çin dışı demiryolu şirketi, Çin devlet şirketiyle rekabet etmek ve Batı demiryollarındaki siber saldırı riskini azaltmak amacıyla birleşmeye çalıştı
    Ancak AB'den bir yetkili bunu rekabet karşıtı gerekçelerle reddetti ve girişim başarısız oldu. Sonrasında birkaç kez uyarlama girişimi oldu ama sonunda yine izin verilmedi
    Sonuç olarak Çin'in CRCC'si yurt dışı sözleşmeleri almaya devam ediyor. Zararı göze alan düşük fiyatlı sözleşmelerle fikri mülkiyet hırsızlığı hedeflediğinden şüpheleniliyor. Böyle bir ortamda demiryolu ağlarını kontrol etmek askerî açıdan da büyük stratejik anlam taşıyor
    Bu yazı otobüslerle ilgili ama demiryollarıyla benzerlikleri açık

    • Bir yıl önce Polonya'da bir demiryolu ekipmanı tedarikçisi, lokomotif yazılımı jailbreak'i nedeniyle dava açtı. Gerekçe, üçüncü bir tarafın gayriresmî biçimde bakım yapabilmesiydi.
      Ürünün içindeki gözetim teknolojisi ille de savaş amaçlı olmayabilir ama bu onu iyi bir şey de yapmaz
    • Avrupa içindeki birleşme gerçekleşseydi bile Çinli şirketlerden 10 kat daha küçük olacaktı ve Avrupa içinde fiilen tekel yaratacaktı. Birleşmeyi engelleyen kararın tamamen yanlış olduğunu düşünmüyorum
    • Batı bu tür bürokratlara karşı fazla yumuşak. Çin, WTO kurallarını açıkça ihlal ederek devlet destekli şirketler işletiyor ama bu kararları verenler Batı'nın tepkisini zayıflatıyor
    • Temelde neden "özel demiryolu şirketleri" olması gerektiğini sorguluyorum
    • Savaşta lojistik kilit önemdedir; bu yüzden demiryolu kontrolünün stratejik önemini küçümsemek olmaz. Aynı mantık dronlar ve otomobiller için de geçerli

  • Çinli şirket otobüslere Romanya SIM kartı mı taktı, yoksa bunu ithalatçı mı yaptı merak ediyorum.
    Bunun araç yönetimi için bir bağlantı mı olduğu, yoksa gerçekten gizli iletişim mi olduğu da soru işareti.
    Ayrıca uzaktan izleme yapılamayan otobüs almak istemenin nedenini de anlamıyorum. Bu, kamu taşımacılığında faydalı bir özellik olurdu

    • Söz konusu araç yönetim özelliği belgelenmişti ve kolayca devre dışı bırakılabiliyordu
    • Bu iş basit bir Batı'nın Çin karşıtı propagandası gibi kokuyor. Görünüşe göre üst kademeden Çin'e baskıyı artırma talimatı gelmiş.
      Yerel yönetimlerin Çin malından kaçınmasını sağlamak için korku atmosferi oluşturmaya yönelik bir sosyal mühendislik girişimi gibi duruyor
    • Çin gerçekten bir şey gizlemek isteseydi işaretsiz bir eSIM kullanırdı.
      Muhtemelen Romanya SIM tarifesi EEA genelinde iyi çalıştığı için tercih edildi.
      Bu abartılmış bir FUD (korku, belirsizlik, şüphe) örneği ama araçların yarısının Çin malı olması yine de daha dikkatli olunmasını gerektirirdi

  • Norveç'in hemen yanı başında Scania ve Volvo gibi otobüs üreticisi ülkeler varken, binlerce km uzaktaki Çin üretimini alması üzücü.
    Görünüşe göre bugünlerde maliyet düşürme her şeyi belirliyor. Oysa ulusal altyapıda güvenlik ve kontrol yetkisi daha önemli

    • Daha da üzücüsü, İsveç'in bile kendi markaları yerine BYD otobüsleri ile değişime gitmiş olması
    • Volvo'nun İsveç'te otobüs ürettiğini duymak şaşırtıcıydı. Ama zaten %78 Çin sermayeli, yani fiilen Çinli bir şirket
    • Çin, elektrikli otobüs teknolojisinde Scania/Volvo'nun en az 10 yıl önünde. O dönemde Avrupalı üreticilerin uygun modelleri olmaması çok muhtemel
    • Norveçli Tide şirketi gelecek yaz Scania elektrikli otobüslerini devreye almayı planlıyor
      İlgili basın bülteni
    • Aslında İsveç otobüslerinde de SIM kart var. Fark, bu arka kapıyı kimin kullanabildiği.
      Elbette bugün İsveç'in Norveç'e saldırma ihtimali neredeyse sıfır ama tarihsel açıdan bakınca ilginç bir ironi

  • Eskiden bir Polonya tren arka kapı vakası vardı; ondan sonra ne oldu merak ediyorum

    • Hâlâ mahkemede derdest durumda. İlgili haber
    • Yerli şirketlerin tüketiciyi aldatmasını hoş görüp yalnızca yabancı etkiyi sorun etmek ikiyüzlülük
    • Zaten amaç korku üretmeye yönelik haberler yaymaktı

  • Norveç'in bu markayı seçmesine şaşırdım. İçine binince sanki kazan dairesinde oturuyormuşsun gibi hissettiriyor

    • Ama Norveç'te yazın ortalama sıcaklık 18 derece civarındaysa, bu kadar sıcaklık hissi büyük sorun olmayabilir

  • Eğer uzaktan güncelleme anahtarı sızarsa, yüz binlerce aracı kullanılmaz hâle getirebilir.
    Böyle bir sistemi elde tutmak gerçekten ürkütücü

    • Sadece kullanılamaz hâle getirmekten de korkuncu bataryanın aşırı ısınması olur. Bir şehrin tüm araçlarının aynı anda yandığını düşünün

  • Eğer bir devlet gerçekten casusluk amaçlı kontrol işlevi gizlemek isteseydi, eSIM gibi kolay fark edilen bir iletişim yöntemini asla kullanmazdı.
    Bu, üreticilerin yıllardır ittiği sıradan bir IoT uzaktan teşhis özelliğinin parçası sadece
    Buna karşılık Batı bunu yeni bir tehditmiş gibi abartıp ticaret savaşı çerçevesine oturtuyor
    DJI dron örneğinde olduğu gibi, önce düzenleme yüzünden özelliği koydurup sonra da onu sorun etmeye benziyor
    İlgili bağlantı

  • Eğer eSIM olsaydı tespit etmek ya da çıkarmak çok daha zor olur muydu?
    Bu arada İsveç'te de yakın zamanda BYD elektrikli otobüsler devreye alındı

    • Haberde nasıl tespit edildiği yazmıyor ama görünüşe göre SIM yuvası veya kartı doğrudan bulmuşlar.
      Eğer Faraday kafesi testi yaptıysalar eSIM olup olmaması fark etmezdi.
      Sonuçta eSIM ya da normal SIM olması arasında büyük bir fark olmazdı diye düşünüyorum

  • Bence bu büyütülecek bir mesele değil.
    Uzaktan erişim özelliği, başka bir ülkenin ürününde olsa muhtemelen sadece yazılım güncelleme özelliği diye anılırdı
    Çin'in otobüsleri devre dışı bırakacağı fikri fazla gerçek dışı ve anlamsız
    Aslında çoğu elektronik cihazda otomatik güncelleme özelliği var ve teoride Amerikan şirketleri de uzaktan kontrol edebilir.
    Bu açıdan bakınca asıl risk başka yerde olabilir

  • Otobüslerde böyle özellikler varsa, MacBook veya akıllı telefonlarda neler saklı olabileceğini düşünmeden edemiyorum.
    Apple'a gerçekten güvenebilir miyiz?

    • Benim daha çok endişelendiğim şey ucuz PC çevre birimleri, yönlendiriciler, akıllı ev cihazları.
      Hatta güneş enerjisi invertörleri bile çevrimiçi bağlı ve savaş zamanında uzaktan kötüye kullanılabilir
    • İlgili örnekler arasında Supermicro casus çip tartışması ve
      Gigabyte firmware arka kapı olayı var
    • Apple'ın bundan habersiz olması mümkün değil. Dünyanın en çok mercek altına alınan şirketlerinden biri; insanlar sürekli birilerinin hata bulmasını bekliyor
    • Ayrıca ABD'nin Cloud Act yasasını da unutmamak gerek
    • TSMC'nin devreye girme ihtimali olabilir ama Apple'ın donanım güvenliği çok güçlü.
      SoC dışındaki tüm veriler şifreli.
      Gerçek risk Apple ya da Google değil, Çin'de üretilen çevre birimleri