Het gevaar van moderne EV's blootgelegd: wie beheert de uit-knop van jouw auto?

In dit artikel:

Noorwegen, Denemarken en het Verenigd Koninkrijk ontdekten onlangs dat honderden Chinese elektrische stadsbussen van fabrikant Yutong mogelijk nog steeds op afstand beheerd kunnen worden. Wat aanvankelijk als een goedkope, schone investering werd gezien — elektrische bussen in Europese hoofdsteden — leidde in de afgelopen weken tot onrust in regeringsgebouwen in Oslo en Kopenhagen. Er bestaan sterke aanwijzingen dat Yutong toegang tot de voertuigen heeft behouden via een digitale verbinding, niet alleen voor telemetrie maar mogelijk ook met de mogelijkheid om functies uit te schakelen.

De kern van het probleem is de architectuur van moderne elektrische voertuigen: ze zijn rijdende computers die continu met servers communiceren voor Over‑The‑Air (OTA) updates en monitoring. Waar die servers staan en wie er beheer over heeft, bepaalt feitelijk wie de macht heeft over die voertuigen. In het geval van Yutong bevinden zich veel servers in China, wat veiligheidsdiensten in Scandinavië en het Verenigd Koninkrijk zorgen baart. Yutong zegt aan lokale wetgeving te voldoen, maar die juridische toezegging neemt de operationele en nationale‑veiligheidszorgen niet weg; de Britten zijn inmiddels ook een onderzoek gestart.

Het risico is tweeledig. Ten eerste kan een kwaadwillende partij theoretisch voertuigen op afstand uitschakelen; ten tweede kunnen technische of bestuurlijke storingen hetzelfde effect hebben. Als voorbeeld wordt verwezen naar eerdere grote cloudstoringen (zoals bij AWS) die webdiensten lamlegden — hetzelfde kan gebeuren met de digitale infrastructuur van bussen: een serverstoring in bijvoorbeeld Zhengzhou kan een chauffeur in Oslo stranden.

Het incident legt een bredere naïviteit bloot: westerse publieke inkopen gingen uit van fysieke transacties, maar in een gedigitaliseerde wereld bepaalt software en serverlocatie de feitelijke controle. Mogelijke antwoorden die uit dit soort gevallen voortvloeien zijn strengere cybersecurity-eisen bij aanbestedingen, eisen voor lokale of Europese dataverwerking, audits van broncode en het uitsluiten van externe 'kill-switches'. Tot die maatregelen genomen zijn blijft de vraag actueel: wie heeft uiteindelijk echt het stuur — de bestuurder in de bus of een systeembeheerder duizenden kilometers verderop?