Kinesiske elbiler har på kort tid gått fra å være prisgunstige nykommere til å bli en del av en større sikkerhetspolitisk diskusjon. Norske og europeiske eksperter advarer nå om at moderne, tilkoblede biler kan brukes til mer enn bare transport – de kan også bli flytende sensorer, datakilder og i verste fall verktøy for sabotasje.
Fra klimakutt til cybersikkerhet: En ny debatt om elbiler fra Kina
I flere år har debatten om kinesiske elbiler handlet om pris, kvalitet og klima. Billige el-SUVer og sedaner fra Kina har presset prisene ned og bidratt til raskere utskifting fra fossilbil til elbil i Europa. Nå er bildet i ferd med å endre seg: stadig flere sikkerhetseksperter, offentlige etater og forsvarsorganer spør hva som egentlig skjer med dataene bilene samler inn – og hvem som kan få tilgang.
Bakgrunnen er en rekke konkrete funn de siste årene. Norske Ruter har avdekket svakheter i kinesisk-produserte elbusser. Sikkerhetseksperter har analysert familiebiler fra kinesiske merker i lukkede testmiljøer. Og fagfolk innen etterretning og cybersikkerhet peker på at kinesisk lovgivning pålegger selskaper å samarbeide med myndighetene om etterretningsrelevant informasjon.
Summen gjør at det som lenge har vært en teoridiskusjon, nå fremstår langt mer konkret: Hva skjer når bilparken – og dermed store deler av samfunnets bevegelsesmønstre – kontrolleres via programvare som kan oppdateres eksternt, og når produsenten har hovedkontor i et land Norge ikke har sikkerhetspolitisk samarbeid med?
Norske funn: Elbusser som kan stoppes på avstand
Det mest håndfaste eksempelet kommer fra Oslo. Kollektivselskapet Ruter fraktet i 2025 to elektriske busser – én europeisk og én kinesisk fra Yutong – til et filmstudio i Drammen og senere inn i en gruve for å teste cybersikkerheten i kontrollerte omgivelser. Målet var å finne ut om bussene kunne manipuleres eller deaktiveres utenfra.
Testene viste at den kinesiske bussen hadde en egen boks med SIM-kort som ga produsenten digital tilgang til sentrale systemer. I teorien kunne funksjoner i bussen påvirkes via mobilnettet, og ekspertene konkluderte med at bussen kunne gjøres ubrukelig gjennom uønskede endringer i programvaren. Den europeiske bussen, derimot, hadde ikke samme fjernaksess og fikk langt bedre vurdering for bruk i en krise- eller krigssituasjon.
Funnene ble rapportert til Samferdselsdepartementet, og Ruter har i etterkant strammet inn sikkerhetskravene. Blant tiltakene er å isolere kritiske systemer bedre, forsinke og filtrere over-the-air-oppdateringer, og stille strengere krav til cybersikkerhet i framtidige anbud. Saken har samtidig fått ringvirkninger utenfor Norge: både danske og britiske myndigheter har igangsatt egne undersøkelser av tilsvarende Yutong-busser, nettopp på grunn av sårbarheten som ble avdekket i Norge.
Familiebilen i fjellhallen: «Lion cage» og Nio-testen
Også personbiler har blitt satt under lupen. I prosjektet «Lion cage» ble en moderne elbil fra kinesiske Nio analysert for å kartlegge hvor dataene tok veien. Ifølge sikkerhetsekspert Charlotte Hafstad viste undersøkelsen at bilen sendte informasjon ikke bare til én server, men til mottakere i flere land – blant annet USA, Canada, Kina, Russland og Australia.
Det handlet ikke bare om anonyme tekniske logger. Elbilen hadde kameraer, sensorer, mikrofoner og høyhastighets dataforbindelse – og dermed mulighet til å sende både video, lyd og detaljerte posisjonsdata. Hafstad pekte på at det er vanskelig for brukeren å ha reell oversikt over hva som sendes hvor, og at dette gir en ny type sårbarhet når bilene brukes av personer med tilgang til sensitiv infrastruktur eller graderte lokasjoner.
Nio selv understreker at selskapet har sterkt fokus på personvern og datasikkerhet, og at databehandling skjer i tråd med gjeldende regelverk. Uansett illustrerer «Lion cage»-testen hvor komplekst bilde av datapstrømmer moderne biler kan tegne, og hvor krevende det er for myndigheter å vurdere risikoen uten tilgang til full innsikt i koden og systemarkitekturen.
Ekspertene: Bilen er en rullende datamaskin – og Kina har særegne lover
Forfatter og sikkerhetsekspert Eystein Hanssen, kjent fra sakprosaboken «Jeg har ikke noe å skjule», beskriver bilen som en datamaskin på hjul – med flere sensorer enn både mobilen og PC-en vår. Han peker på at data fra bilen, kombinert med mobiltelefonen, kan gi et nesten komplett bilde av hvordan vi lever livene våre: hvor vi bor, jobber, handler, hvem vi besøker og hvilke vaner vi har.
Hanssen viser til en svensk undersøkelse der en MG-modell ble testet og viste direkte kontakt med en server i Kina under bruk. Han understreker at ingen kan med sikkerhet si at en moderne, tilkoblet bil ikke kan hackes, så lenge det finnes toveis-kommunikasjon mellom bilen og en ekstern server. Samtidig mener han at risikoen er størst for personer som er interessante for etterretningstjenester – som ansatte i Forsvaret, politiet eller kritisk infrastruktur.
Charlotte Hafstad trekker i tillegg frem et avgjørende poeng: kinesisk lovgivning. Etterretningslovgivningen i Kina legger til rette for at myndighetene kan pålegge både kommersielle og private aktører å dele etterretningsrelevante data. Det betyr at selv om et bilmerke presenterer seg som en ren kommersiell aktør, vil de fortsatt være underlagt nasjonale lover dersom myndighetene ber om tilgang.
Dette bekymrer europeiske personvern- og sikkerhetsmyndigheter. Det europeiske personvernrådet (EDPB) har tidligere fått utarbeidet en egen studie om myndigheters tilgang til personopplysninger i blant annet Kina. Rapporten brukes som beslutningsstøtte for selskaper som vurderer å overføre data til land utenfor EU og illustrerer hvor krevende det er å vurdere reell kontroll over informasjon som først har krysset grensene.
Når bilen vet alt: Fra komfortfunksjoner til geodata i stor skala
Mange av funksjonene elbilkunder har lært å sette pris på – fjernstyring via app, «sovende» overvåkingskamera, stemmestyring, trådløse oppdateringer – er de samme som gjør bilene til en potensiell gullgruve for datainnsamling. Bilen vet når du kjører, hvor du kjører, hvor lenge du står parkert, hvilken ladevane du har og hvilke ruter du velger til daglig.
Sett enkeltvis kan hver datapunkt virke uskyldig. Men i stor skala snakker eksperter om såkalt geospatial intelligence – der millioner av bevegelsesdata kan analyseres ved hjelp av kunstig intelligens. Resultatet kan bli svært detaljerte kart over trafikkmønstre, militær og sivil infrastruktur, logistikkårer og adferd i befolkningen. I en konflikt- eller krisesituasjon kan slik kunnskap være verdifull, enten den brukes av en fiendtlig stat eller av kriminelle aktører.
Når bilprodusenten i tillegg sitter på mulighet til å oppdatere programvaren løpende, er spørsmålet ikke bare hva bilen ser og hører i dag, men også hva den kan gjøres i stand til å gjøre i morgen. Her er det liten forskjell på kinesiske og vestlige merker rent teknisk – men politisk og rettslig er rammene for myndighetenes tilgang til data svært forskjellige.
Hvor stor er risikoen for vanlige elbilister?
For den gjennomsnittlige elbileieren i Norge er det viktig å skille mellom to typer risiko: personvern og nasjonal sikkerhet. På personnivå handler det om at kjøremønster, husadresse, favorittbutikker og kanskje video og lyd fra kupeen kan bli brukt til markedsføring, profilering eller i verste fall identitetstyveri. Dette er en utfordring også med vestlige bilmerker – og reguleres i stor grad av GDPR.
På nasjonalt nivå er bildet mer alvorlig. Da handler det om hva som skjer når biler brukes av personer med nøkkelroller – i Forsvaret, i kritisk infrastruktur, i politiet eller i politiske nøkkelposisjoner. Her er det ikke lenger bare spørsmål om «plagsom» reklame, men om muligheten for kartlegging, utpressing, sabotasjeforsøk eller påvirkningsoperasjoner.
Flere sikkerhetseksperter understreker at dagens risiko ikke nødvendigvis ligger i at noen «slår av» bilen din i morgen. Den større bekymringen er at enorme mengder data samles inn over tid, lagres og kan brukes i en framtidig krise – lenge etter at bilen er solgt, og kanskje i et helt annet politisk klima enn i dag.
Tiltakene som diskuteres: Fra innkjøpskrav til «air gap»
Hva kan så gjøres? Offentlige aktører har allerede begynt å stramme inn. Ruter har startet arbeidet med å skjerme kritiske systemer i bussene – blant annet ved å isolere enkelte komponenter fysisk fra internett («air gap»), etablere sterkere brannmurer og stille strengere krav til dokumentasjon av hvordan data håndteres.
På innkjøpssiden diskuteres det om nasjonal sikkerhet må vektes høyere når det offentlige kjøper inn både busser og personbiler. Flere peker på at det i dag ofte er pris og klimaeffekt som veier tyngst, mens cybersikkerhet og geopolitisk risiko i liten grad er synlig i anbudsdokumentene. Det kan endre seg raskt dersom politiske myndigheter gir tydeligere føringer.
For privatkunder kan det på kort sikt handle om bevissthet og valg. De som jobber med svært sensitive oppgaver, bør tenke gjennom om bilvalg, bruk av app, tilkobling av jobbtelefon og deling av posisjonsdata er forenlig med sikkerhetsinstruksene de ellers følger. For andre kan det være nok å sette seg inn i personvernerklæringen og aktivt skru av noen funksjoner man ikke trenger.
Veien videre: Tillit, teknologi og tøffere spørsmål
Debatten om kinesiske biler i Norge og Europa er med andre ord ikke et spørsmål om «for eller mot Kina» – men om hvordan vi håndterer den nye virkeligheten der bilen er blitt en del av den digitale infrastrukturens nervenett. At kinesiske merker står i sentrum nå, handler både om at de er teknologisk offensive og om at kinesisk lovgivning skaper ekstra usikkerhet om hvem som i siste instans kan kreve tilgang til data.
For elbilkjøpere handler dette til syvende og sist om tillit: tillit til produsenten, til myndighetene som skal føre tilsyn, og til at egne data ikke brukes til noe helt annet enn det man har sett for seg når man plugger bilen i laderen og drar hjem for kvelden. Kinesiske biler er ikke alene om å skape nye sårbarheter – men de tvinger oss til å ta debatten på alvor, her og nå.
Og mens etterforskere, regulatorer og sikkerhetseksperter plukker busser og biler fra hverandre i fjellhaller og laboratorier, står vi som elbilbrukere igjen med et enkelt, men krevende spørsmål: Hvor mye er vi villige til å betale – ikke i kroner, men i data og sikkerhet – for å få tilgang til den neste generasjonen smarte, tilkoblede biler?
