Operadora confirma averiguação técnica depois de testes nórdicos detetarem cartões SIM ocultos que enviavam dados e poderiam permitir desativação remota; fabricante afirma cumprir regras europeias e usar acesso para atualizações e diagnóstico.
A Guimabus abriu um processo de averiguação para confirmar se parte da sua frota Yutong envia informação para o construtor e se existe capacidade de acesso remoto aos veículos, na sequência de casos identificados na Noruega com autocarros da mesma marca, segundo confirmou fonte da empresa a órgãos locais.
Noticiou‑se que, em testes de cibersegurança, autoridades norueguesas detetaram cartões SIM ocultos em veículos Yutong que permitiam envio de dados e, em teoria, possibilidade de impedir o funcionamento ou parar os autocarros à distância, tendo o operador anunciado medidas de reforço de segurança.
Relatos locais acrescentam que os autocarros usados em Guimarães são da mesma marca dos avaliados na Noruega, estando a operadora a “analisar tecnicamente a situação”, enquanto o fabricante sustenta que os seus veículos cumprem a legislação europeia em vigor.
O Observador referiu que a Yutong admitiu que o sistema permite atualizações de software e diagnóstico remoto, reconhecendo também que a plataforma poderia impedir a operação do veículo, o que levou o operador norueguês a remover cartões SIM e a implementar firewalls para garantir controlo nacional dos dados.
Em Portugal, a discussão já motivou alertas para auditorias independentes de cibersegurança aos autocarros conectados e para políticas que limitem o acesso externo a funções críticas, como desativar a conectividade celular dos veículos até verificação dos riscos, práticas que os testes na Noruega sugerem reduzir a superfície de ataque.
Contexto europeu:
- A autoridade de transporte de Oslo (Ruter) testou em ambiente isolado veículos elétricos e concluiu que os Yutong tinham acesso digital direto para OTA e diagnósticos, ao contrário de modelos europeus avaliados, recomendando requisitos de segurança mais rígidos e mitigação técnica imediata.
- O fabricante indicou que os dados são encriptados e armazenados em servidores na Alemanha, destinando‑se a manutenção e otimização, posição também citada na imprensa portuguesa ao sublinhar conformidade com regras da UE.
Boas práticas imediatas sugeridas (com base nas medidas nórdicas):
- Remoção/isolamento dos cartões SIM ou desativação temporária da conectividade dos sistemas críticos até conclusão de auditoria, mitigando a hipótese de desativação remota do veículo.
- Implementação de firewalls e segmentação de rede a bordo para impedir que canais de manutenção acedam a controlos essenciais sem validação local e logs auditáveis, conforme adotado pela operadora norueguesa.
- Revisão contratual para clarificar que qualquer atualização OTA passa por aprovação do operador, com janelas de manutenção supervisionadas e capacidade de rollback em caso de anomalia, refletindo as exigências anunciadas pelos nórdicos.
