Podczas gdy energia odnawialna jest kluczowym elementem do osiągnięcia światowych celów zerowej emisji netto, w rzeczywistości wciąż pozostaje wiele do zrobienia, aby mieć pewność, że można na niej polegać jako na bezpiecznym źródle energii. Dlaczego zwiększony nacisk na cyberbezpieczeństwo wśród sprzedawców, firm komercyjnych, operatorów sieci i rządów ma kluczowe znaczenie dla zapewnienia przyszłego bezpieczeństwa energetycznego? Jak liderzy branży, tacy jak SolarEdge, podchodzą do tego wyzwania, aby zabezpieczyć przyszłość energetyczną? Co zrobić, aby rozwiać obawy związane z cyberbezpieczeństwem w branży PV? Zapraszamy do lektury.
Zagrożenia dla cyberbezpieczeństwa związane ze zdecentralizowaną siecią energetyczną
Duże zakłady energetyczne, takie jak elektrownie gazowe i obiekty jądrowe, od dawna są chronione rygorystycznymi przepisami dotyczącymi cyberbezpieczeństwa. Nowe podmioty wchodzące do koszyka energetycznego, takie jak morskie farmy wiatrowe i pola słoneczne, również podlegały do pewnego stopnia podobnym strukturom regulacyjnym ze względu na ich duży rozmiar. Jednak w miarę jak świat przechodzi na jeszcze bardziej zdecentralizowaną infrastrukturę energetyczną, z milionami systemów solarnych na skalę konsumencką na dachach domów i firm, zaangażowanych jest wiele komponentów połączonych z Internetem, z których każdy ma unikalne słabe punkty. Stanowi to zupełnie inne wyzwania w zakresie cyberbezpieczeństwa niż w przypadku dużych zakładów energetycznych, z którymi mieliśmy do czynienia w przeszłości.
Falownik fotowoltaiczny, nazywany często „mózgiem” systemu fotowoltaicznego, jest odpowiedzialny za przekształcanie energii z modułów słonecznych w użyteczną energię elektryczną. W komercyjnych i mieszkalnych instalacjach fotowoltaicznych na dachach falownik jest bezpośrednio podłączony do Internetu, co czyni go punktem narażonym na cyberatak na system solarny, z potencjalnie poważnymi konsekwencjami. Uzyskując uprawnienia administratora, udowodniono już, że hakerzy mogą uzyskać zdalną kontrolę nad zainstalowanymi przez producenta systemami solarnymi. Mając taki dostęp, haker może wyłączyć lub uszkodzić falowniki, zablokować je dla okupu lub uzyskać dostęp do wrażliwych części sieci klienta. W przypadku firm może to obejmować bazy danych zarządzania klientami i systemy finansowe. Hakerzy mogą być również zainteresowani danymi dotyczącymi zużycia energii, ujawniającymi szczegółowe procedury domowe lub wyniki biznesowe.
“Bardziej niepokojącą możliwością są hakerzy atakujący centralne serwery zarządzające tymi systemami fotowoltaicznymi. Tysiące, a czasem miliony systemów mogą być kontrolowane z jednego punktu. Serwery te mogą stać się celem ataku hakerów w celu wyłączenia całej sieci. Sieci energetyczne są zaprojektowane tak, aby stale utrzymywać równowagę między podażą a popytem na energię elektryczną. Jeśli krytyczny próg luki między podażą a popytem zostanie przekroczony, sekcje sieci mogą zostać awaryjnie wyłączone. Obecnie eksperci są zgodni co do tego, że energia produkowana przez domowe systemy PV już dawno przekroczyła maksymalny próg luki. Przy milionach instalacji fotowoltaicznych na całym świecie, konsekwencje te prowadzą do zwiększonej kontroli cyberbezpieczeństwa energii słonecznej” – mówi Uri Sadot, przewodniczący grupy SolarPower Europe ds. cyfryzacji oraz dyrektor ds. programu cyberbezpieczeństwa w SolarEdge Technologies.
Ukierunkowane ataki już się rozpoczęły
W maju 2024 r. Europejska Rada Przemysłu Energetyki Słonecznej (ESMC) wezwała do zwiększenia wysiłków na rzecz zaostrzenia cyberbezpieczeństwa falowników. Podobnie Vangelis Stykas – „etyczny haker”, którego celem jest ujawnianie błędów cybernetycznych, aby można je było naprawić – ogłosił, że używając tylko telefonu komórkowego i laptopa uzyskał pełny zdalny dostęp do systemów fotowoltaicznych sześciu globalnych producentów falowników. Dało mu to dostęp do zagregowanej mocy ponad trzykrotnie większej niż cała niemiecka sieć . Chociaż żaden z hakerów nie zaatakował operacji sieciowych, mieli oni dostęp do znacznych ilości energii, które mogły zostać wykorzystane do spowodowania rozległych awarii.
W sierpniu dwie kolejne firmy zajmujące się energią słoneczną zostały zhakowane przez znanego lidera cyberbezpieczeństwa Bitdefender, co dało im dostęp do 195 GW energii słonecznej – 20% globalnej produkcji energii słonecznej . Z kolei holenderska grupa etycznych hakerów DIVD ujawniła sześć nowych luk w cyberbezpieczeństwie jednego z głównych producentów falowników fotowoltaicznych, narażając na ataki cztery miliony systemów w ponad 150 krajach.
Ale nie wszystkie włamania do systemów PV były łagodne. Na początku lutego 2024 r. rosyjska grupa cyberprzestępcza uzyskała dostęp do litewskiego przedsiębiorstwa użyteczności publicznej Ignitis. Hakerzy przedstawili dowody wideo na zamknięcie kont użytkowników i zażądali okupu za zaprzestanie ataków. Dokonali tego, atakując oprogramowanie do monitorowania energii słonecznej i uzyskując dostęp do danych z 22 obiektów, w tym szpitali i akademii wojskowych.
Kolejny złośliwy cyberatak, który trafił na pierwsze strony gazet, miał miejsce w Japonii. Hakerzy przejęli 800 japońskich urządzeń do zdalnego monitorowania energii słonecznej, wykorzystując je do kradzieży kont bankowych . W przeciwieństwie do większości luk w zabezpieczeniach, tej nie da się naprawić, ponieważ nie istnieje mechanizm zdalnej aktualizacji, przez co luka pozostaje stale otwarta.
DERSec to firma zajmująca się cyberbezpieczeństwem, która niedawno opublikowała przegląd 54 cyberataków na energię słoneczną i luk w systemach konsumenckich. W raporcie stwierdzono, że rosnący trend cyberataków prawdopodobnie utrzyma się, ponieważ podmioty stanowiące zagrożenie starają się penetrować i zakłócać infrastrukturę krytyczną na całym świecie. Doprowadziło to do przebudzenia wśród organów branżowych i rządów, dostarczając dowodów na to, że zagrożenia cyberbezpieczeństwa związane z energią słoneczną są bardzo realne.
Odpowiedź organów branżowych i rządów
W świetle tych wydarzeń SolarPower Europe – wiodące stowarzyszenie branży fotowoltaicznej w Europie – stwierdziło niedawno, że UE musi podjąć działania w celu wyegzekwowania wysokich standardów cyberbezpieczeństwa od producentów falowników fotowoltaicznych w celu ochrony bezpieczeństwa energetycznego. Zostało to również powtórzone przez Europejską Radę Przemysłu Energetyki Słonecznej. W Stanach Zjednoczonych FBI również ostrzegło niedawno przed atakami hakerów na infrastrukturę krytyczną, a w szczególności na wrażliwe źródła energii odnawialnej , powołując się na rosnącą zależność od odnawialnych źródeł energii oraz brak wystarczających protokołów i przepisów dotyczących cyberbezpieczeństwa.
Rządy znajdują się teraz na straconej pozycji i muszą pilnie zająć się tą kwestią. W Stanach Zjednoczonych Biuro Krajowego Dyrektora ds. Cyberbezpieczeństwa (ONCD) Białego Domu opublikowało niedawno mapę drogową określającą krytyczne technologie wymagające cyberbezpieczeństwa w miarę przyspieszania transformacji czystej energii. Zidentyfikowano w niej konkretne kategorie produktów, takie jak falowniki fotowoltaiczne i ładowarki pojazdów elektrycznych, które wymagają szczególnej uwagi. Inne podmioty, takie jak holenderska agencja rządowa RDI i firma badawcza SECURA lub australijska spółdzielnia ds. cyberbezpieczeństwa w swoim raporcie Power Out, również zidentyfikowały to ryzyko.
W niektórych obszarach byliśmy świadkami kształtowania się pierwszych regulacji dotyczących rozproszonych zasobów energii (DER). Na przykład brytyjskie rozporządzenie w sprawie inteligentnych punktów ładowania wymaga wbudowania w ładowarki pojazdów elektrycznych sprzętowych zegarów opóźniających, aby zapobiec masowym awariom i dać sieci czas na dostosowanie się w przypadku rozpoczęcia cyberataku. Jednakże, chociaż może to złagodzić najgorszy scenariusz, nie zapobiega to hakowaniu DER w pierwszej kolejności.
Komisja Europejska stara się temu zaradzić poprzez bardziej rygorystyczne przepisy. Dla niektórych może być już jednak za późno. Doskonałym przykładem jest Litwa, która jako pierwsza wzięła sprawy w swoje ręce. Wkrótce po cyberataku na litewskie przedsiębiorstwo energetyczne w lutym, lokalny parlament podjął decyzję o zakazie zdalnego dostępu do urządzeń fotowoltaicznych, wiatrowych i magazynujących dla krajów sklasyfikowanych jako zagrożenie dla bezpieczeństwa narodowego Litwy . Oznacza to, że falowniki fotowoltaiczne z krajów uznanych przez litewskie prawo za przeciwników zostaną zakazane od 1 maja 2025 r., a istniejące obiekty muszą odłączyć niezgodne falowniki do tego samego czasu w kolejnym roku.
Jak możemy to rozwiązać?
Wobec braku solidnych regulacji, producenci falowników fotowoltaicznych muszą zdać sobie sprawę, że budują infrastrukturę krytyczną i traktować ją jako taką, traktując priorytetowo inwestycje w technologie cyberbezpieczeństwa zamiast cięcia kosztów i wyższych marż, aby pomóc zapewnić przyszłą stabilność i bezpieczeństwo branży fotowoltaicznej.
Ponadto, firmy inwestujące w energię słoneczną muszą być świadome zagrożeń cybernetycznych i oceniać środki bezpieczeństwa cybernetycznego różnych dostawców, aby zapewnić bezpieczeństwo swoich systemów. Na przykład, zadając instalatorowi pytania takie jak: kto ma zdalny dostęp do mojego systemu PV? Gdzie przechowywane są moje dane i jak są chronione? Czy jest to marka z dobrymi osiągnięciami w zakresie cyberbezpieczeństwa? W przeciwnym razie może się okazać, że masz niedziałający system lub posiadasz wkrótce niezgodny system fotowoltaiczny, który należy wymienić na długo przed okresem zwrotu z inwestycji.
„W miarę jak Polska kontynuuje cyfrową transformację w sektorze energii odnawialnej, konieczność stosowania rygorystycznych środków cyberbezpieczeństwa staje się coraz bardziej krytyczna. Cyberbezpieczne rozwiązania powinny być standardem, a nie opcją, w zabezpieczaniu naszej rozwijającej się infrastruktury energii słonecznej. W SolarEdge staramy się być liderem, projektując nasze produkty tak, aby spełniały najwyższe standardy cyberbezpieczeństwa. Takie podejście ma kluczowe znaczenie dla ochrony inwestycji oraz zapewnienia niezawodności i stabilności zasobów energetycznych w całym kraju. Nadając priorytet cyberbezpieczeństwu, staramy się wspierać większe zaufanie i zachęcać do szerszego stosowania technologii czystej energii” – komentuje Michał Marona, Regional Manager Poland, Nordic and Baltics w SolarEdge Technologies.
W obliczu wyścigu we wdrażaniu czystych technologii energetycznych, uwzględnienie cyberbezpieczeństwa od samego początku ma nadrzędne znaczenie. Szybkie wdrożenie Internetu trzy dekady temu wiązało się ze znacznymi kompromisami w zakresie cyberbezpieczeństwa, za które płacimy do dziś. Aby uniknąć popełnienia tych błędów z przeszłości, lekcja jest jasna: lepiej zapobiegać niż leczyć.
Michał Marona, Regional Manager Poland, Nordic and Baltics w SolarEdge Technologies dodaje: „Cyberbezpieczeństwo to dziś nieodłączny element rozwoju branży fotowoltaicznej, szczególnie w kontekście dynamicznie rozwijających się inteligentnych systemów energetycznych. W SolarEdge traktujemy tę kwestię priorytetowe. Nasze produkty, spełniające europejskie wymogi bezpieczeństwa, są dowodem na nasze zaangażowanie w ochronę cyberbezpieczeństwa użytkowników systemów PV. Niedawne przeniesienie produkcji do USA to kolejny krok, który wzmacnia bezpieczeństwo technologii i pozwala nam oferować rozwiązania w konkurencyjnych cenach, obniżonych o średnio 20%„.
1 https://www.pv-tech.org/more-work-needed-on-cyber-and-data-security-says-esmc/
5 https://cyble.com/blog/solar-monitoring-solutions-in-hacktivists-crosshairs/
7 https://dersec.io/reports/DERSec_Solar_Vulnerability_Summary_11-15-24.pdf
8 https://s3.documentcloud.org/documents/24788637/fbiwarning.pdf
