Як ваші сонячні панелі на даху перетворилися на питання національної безпеки
1 min read

Як ваші сонячні панелі на даху перетворилися на питання національної безпеки

Плахотнюк Сергій0

Джеймс Шоуолтер описує специфічний, хоч і малоймовірний, сценарій жаху. Уявіть, що хтось під’їжджає до вашого дому, зламує ваш Wi-Fi пароль і починає втручатися в сонячний інвертор, що встановлений поруч з вашим гаражем — простий сірий ящик, який перетворює постійний струм від сонячних панелей на змінний струм для живлення вашого дому.

«Тут потрібен сонячний переслідувач», — говорить Шоуолтер, пояснюючи, що для реалізації цього сценарію потрібна людина, яка фізично з’явиться у вашому проїзді з технічними знаннями і мотивацією зламати вашу домашню енергосистему.

Шоуолтер, генеральний директор EG4 Electronics, компанії з Салфур-Спрінгс, Техас, не вважає цю послідовність подій особливо ймовірною. Проте саме тому його компанія опинилася в центрі уваги, коли американське агентство кібербезпеки CISA опублікувало рекомендації щодо вразливостей безпеки в сонячних інверторах EG4. CISA зазначило, що недоліки можуть дозволити зловмиснику, який отримав доступ до тієї ж мережі, що й уражений інвертор, перехоплювати дані, встановлювати шкідливе програмне забезпечення або захоплювати контроль над усією системою.

Для приблизно 55 000 клієнтів, які володіють ураженими моделями інверторів EG4, цей випадок, напевно, став тривожним відкриттям про пристрій, який вони мало розуміють. Вони дізнаються, що сучасні сонячні інвертори вже не є простими перетворювачами електрики. Вони стали основою домашніх енергетичних установок, контролюючи продуктивність, спілкуючися з енергетичними компаніями і, коли є надлишок енергії, повертаючи її в мережу.

Багато з цього сталося непомітно для людей. «Ніхто не знав, що таке сонячний інвертор п’ять років тому», — зауважує Джастін Паскаль, консультант компанії Dragos, яка спеціалізується на кібербезпеці в промислових системах. «Тепер ми говоримо про це на національному та міжнародному рівнях».

Вразливості безпеки та скарги клієнтів

Деякі дані демонструють, наскільки індивідуальні будинки в США перетворюються на міні-електростанції. Згідно з даними Управління енергетичної інформації США, маломасштабні сонячні установки — переважно житлові — зросли більш ніж у п’ять разів між 2014 і 2022 роками. Що було колись прерогативою кліматичних активістів і ранніх адептів, стало більш звичайним явищем завдяки зниженню витрат, державним дотаціям та зростаючій свідомості щодо змін клімату.

Кожна сонячна установка додає ще один вузол до розширювальної мережі взаємопов’язаних пристроїв, кожен з яких сприяє енергетичній незалежності, але також стає потенційною точкою входу для зловмисників.

Розмірковуючи про стандарти безпеки своєї компанії, Шоуолтер визнає їх недоліки, але й ухиляється від відповідальності. «Це не проблема EG4», — каже він. «Це проблема галузі в цілому». Під час розмови через Zoom і пізніше у листах, які потрапили до редакційного інбоксу, він надав 14-сторінковий звіт, в якому документуються 88 випадків вразливостей у сонячній енергетиці, виявлених у комерційних і житлових застосуваннях з 2019 року.

Не всі його клієнти — деякі з яких скаржилися на Reddit — проявляють розуміння, особливо з огляду на те, що рекомендації CISA виявили фундаментальні проектні недоліки: ненадійний зв’язок між моніторинговими додатками та інверторами, оновлення програмного забезпечення без перевірок цілісності, а також елементарні процедури аутентифікації.

«Це були основні недоліки безпеки», — каже один з клієнтів компанії, який побажав залишитися анонімним. «Додатковою образою стало те, що EG4 навіть не спробував повідомити мене або запропонувати можливі способи вирішення проблеми».

Коли Шоуолтера запитали, чому EG4 не попередив клієнтів негайно, коли CISA зв’язалася з компанією, він назвав це «уроком на майбутнє».

«Оскільки ми так близькі до вирішення проблеми з CISA, і у нас встановлені позитивні відносини з ними, ми планували спочатку вирішити питання, а потім повідомити людей, щоб не перебивати процес», — говорить Шоуолтер.

TechCrunch звернувся до CISA цього тижня за додатковою інформацією, але агенція не відповіла. У своїй рекомендації про EG4 CISA зазначає, що «досі не повідомлялося про відомі випадки публічної експлуатації, які специфічно націлені на ці вразливості».

Зв’язки з Китаєм викликають занепокоєння щодо безпеки

Хоча це і не пов’язано безпосередньо, криза PR EG4 збігається з більш широкими тривогами щодо безпеки ланцюга постачання обладнання відновлювальної енергетики.

Раніше цього року американські енергетичні чиновники, за повідомленнями, почали переоцінювати ризики, пов’язані з пристроями, виробленими в Китаї, після виявлення невідомого обладнання зв’язку в інверторах і батареях. За даними розслідування Reuters, не задокументовані стільникові радіомодулі та інші засоби зв’язку були знайдені в обладнанні від кількох китайських постачальників — компоненти, які не з’являлися в офіційних списках обладнання.

Ці виявлення викликають особливу тривогу, враховуючи домінування Китаю у виробництві панелей. Згідно з повідомленням, у 2022 році компанія Huawei стала світовим лідером серед постачальників інверторів, займаючи 29% обсягу поставок, після неї йдуть китайські компанії Sungrow і Ginlong Solis. Близько 200 ГВт європейської сонячної потужності пов’язано з інверторами, виготовленими в Китаї, що приблизно еквівалентно більш ніж 200 ядерним електростанціям.

Геополітичні наслідки не залишилися непоміченими. Литва торік ухвалила закон, який забороняє віддалений доступ Китаю до установок сонячної, вітрової та батарейної енергії потужністю понад 100 кіловат, фактично обмежуючи використання китайських інверторів. Шоуолтер каже, що його компанія реагує на занепокоєння клієнтів, починаючи рухатися від китайських постачальників до компонентів, виготовлених в інших країнах, зокрема в Німеччині.

Проте вразливості, описані CISA в системах EG4, піднімають питання, що виходять за рамки практик будь-якої окремої компанії або того, звідки вона отримує свої компоненти. Американське агентство стандартів NIST попереджає, що «якщо ви дистанційно контролюєте досить велику кількість домашніх сонячних інверторів і вчиняєте щось злочинне одночасно, це може мати катастрофічні наслідки для мережі на тривалий час».

Хороша новина (якщо вона є) полягає в тому, що хоча теоретично це можливо, цей сценарій стикається з безліччю практичних обмежень.

Паскаль, який працює з сонячними установками великого масштабу, зазначає, що житлові інвертори виконують переважно дві функції: перетворення енергії з постійного на змінний струм та забезпечення підключення до мережі. Масова атака вимагала б компрометації великої кількості окремих домів одночасно. (Такі атаки не неможливі, але, як правило, вони більше ймовірні в цілому націлювалися б на виробників, деякі з яких мають віддалений доступ до сонячних інверторів своїх клієнтів, як це було продемонстровано дослідниками безпеки минулого року).

Регуляторна база, що регулює більші установки, наразі не поширюється на житлові системи. Стандарти критичної інфраструктури Північноамериканської корпорації електричної надійності в даний час застосовуються лише до великих об’єктів, що виробляють 75 мегават або більше, таких як сонячні електростанції.

Оскільки житлові установки значно нижчі за ці пороги, вони функціонують у регуляторній «сірої» зоні, де стандарти кібербезпеки залишаються лише рекомендаціями, а не вимогами.

У результаті, безпека тисяч малих установок значною мірою залежить від дискреції окремих виробників, які працюють у регуляторному вакуумі.

Наприклад, щодо питання ненадійної передачі даних, через що EG4 отримала попередження від CISA, Паскаль зазначає, що в умовах експлуатації великомасштабних установок передача даних у відкритому тексті є звичайною практикою і іноді навіть заохочується.

«Коли ви розглядаєте шифрування в корпоративному середовищі, його заборонено», — пояснює він. «Але в операційному середовищі більшість даних передається у відкритому тексті».

Іншими словами, справжня проблема не стосується безпосередньої загрози для окремих домовласників. Замість цього, вона пов’язана з загальною вразливістю швидко розширювальної мережі. У міру того, як енергетична мережа стає дедалі більш дистрибутивною, з енергією, що надходить з мільйонів дрібних джерел, а не з десятків великих, площа атаки експоненційно зростає. Кожен інвертор є потенційною слабкою ланкою в системі, яка не була спроектована, щоб витримати таку складність.

Шоуолтер сприйняв втручання CISA як «покращення довіри» — можливість відрізнити свою компанію на переповненому ринку. Він говорить, що з червня EG4 співпрацювала з агенцією задля усунення виявлених вразливостей, зменшивши початковий список з 10 проблем до трьох залишилися, які компанія планує вирішити до жовтня. Процес включає оновлення протоколів передачі прошивки, впровадження додаткової перевірки особи для дзвінків технічної підтримки та переробку процедур аутентифікації.

Однак для таких, як анонімний клієнт EG4, який з розчаруванням висловився про реакцію компанії, ця ситуація підкреслює дивне становище, в якому опинилися ті, хто перейшов на сонячну енергію. Вони купили те, що вважали екологічно чистою технологією, лише для того, щоб виявити, що стали випадковими учасниками складної кібербезпекової ситуації, яку не всі розуміють.

Related Posts