O presidente da Câmara Municipal de Braga, João Rodrigues, revelou que a autarquia vai verificar se os autocarros da chinesa Yutong adquiridos para a Transportes Urbanos de Braga (TUB) estão vulneráveis à ação remota de entidades externas à TUB, após notícias de alegadas falhas de cibersegurança.
Numa reunião do executivo camarário, na segunda-feira, o vereador eleito pela Iniciativa Liberal, Rui Rocha, levantou a questão sobre os autocarros da Yutong, lembrando que o mesmo assunto já suscitou preocupação na Noruega e na Dinamarca e que estes países estão já a tomar medidas.
"Se se viesse a verificar que isso estava a acontecer, era muito grave. Não andamos aqui a brincar, é preciso saber o que se passa e eu vou saber o que se passa", afirmou João Rodrigues, por sua vez.
O presidente da Câmara garantiu ter agendada para esta terça-feira, dia 11, uma reunião com a administração dos TUB para analisar a questão.
Estão contratualizados 35 autocarros da Yutong para a TUB, que deverão ser entregues nos próximos meses.
Em causa estão autocarros elétricos do construtor chinês Yutong, que estarão equipados com um cartão SIM que permite ao fabricante aceder remotamente aos sistemas dos autocarros. Através dos cartões SIM, teoricamente, o fabricante terá capacidade para paralisar remotamente os autocarros.
Newsletter Revista
Receba as novidades do mundo automóvel e do universo ACP.
Segundo noticiou a Euronews, a Ruter, um dos maiores operadores de transportes públicos da Noruega, descobriu que a chinesa Yutong mantinha acesso aos sistemas de controlo para atualizações de software e diagnóstico, podendo essa permissão ser “explorada” para afetar o autocarro.
As autoridades da Dinamarca chegaram a conclusão idêntica, de acordo com o jornal inglês The Guardian.
Em Portugal, segundo o semanário Expresso, empresas como a Carris e a Flixbus também têm nas suas frotas autocarros da Yutong. Ambas encontram-se a avaliar a situação.
Ao consultar o Portal Base, onde se publicam os contratos públicos da administração e empresas públicas, encontram-se pelo menos cinco contratos públicos para aquisição de autocarros da Yutong, num valor total que supera os 45 milhões de euros.
Além da TUB, da Carris Metropolitana e da Flixbus, também as empresas de transporte público de Guimabus (Guimarães) e RodoAmarante (Amarante) e o município do Barreiro são clientes da Yutong.
Newsletter Revista
Receba as novidades do mundo automóvel e do universo ACP.
Yutong garante que ninguém acede a dados sem autorização
Entretanto, a Yutong já reagiu às notícias de alegadas falhas de cibersegurança, garantindo que ninguém pode aceder aos dados dos autocarros sem autorização dos clientes. A empresa também lembra que não é possível guiar veículos remotamente e que os dados dos clientes europeus estão alojados em infraestruturas localizadas União Europeia (UE).
"Ninguém pode aceder ilegitimamente ou visualizar os dados sem a autorização dos clientes [empresas de viação]. A Yutong cumpre estritamente as leis de proteção de dados e regulamentos", informou a empresa num comunicado citado pela agência Lusa.
De acordo com o fabricante chinês de autocarros, "os terminais de dados dos veículos Yutong na UE são armazenados no centro de dados da AWS [Amazon Web Services] em Frankfurt, na Europa".
"Os clientes podem iniciar sessão no sistema através de contas privadas para gerir a frota. Sem autorização dos clientes, ninguém pode aceder ou operar o sistema. Os veículos da Yutong na Europa não suportam o controlo remoto de aceleração, direção ou travagem", prossegue o comunicado.
A empresa chinesa fez saber também que os dados "são usados para manutenção relacionada com os veículos, otimização e melhorias para ir ao encontro dos serviço pós-venda dos clientes", sendo "protegidos através de encrpitação no armazenamento e controlo de acesso".
A Yutong referiu, ainda, que os seus veículos a operar na Europa apenas possibilitam o controlo remoto dos clientes "para necessidades de conforto, como a calendarização do serviço de ar condicionado".
Em termos de cibersegurança, a Yutong assegurou cumprir as normas UN R155 de cibersegurança, UN R156 de atualização de software, ISO 27001 de gestão da segurança de informação e ISO 27701 de privacidade da informação.