Безопасность солнечных инверторов под угрозой

Недавний анализ, опубликованный Агентством по кибербезопасности США (CISA), привлек внимание к потенциальным уязвимостям в солнечных инверторах, производимых компанией EG4 Electronics. Эти устройства, которые преобразуют постоянный ток, поступающий с солнечных панелей, в переменный, необходимый для питания бытовой техники, теперь играют важную роль в домашних энергетических системах. Они не только обеспечивают стабильное электроснабжение, но и взаимодействуют с поставщиками энергии, собирают данные о производительности и, при наличии излишка электроэнергии, возвращают её в сеть.

Возможная схема атаки, описанная экспертом James Showalter, включает в себя проникновение злоумышленника в частную сеть владельца, взлом пароля Wi-Fi и дальнейшее вмешательство в работу инвертора. По словам Showalter, такая атака требует не только технической подготовки, но и физического доступа к месту установки устройства. Хотя он не считает подобные инциденты вероятными, публикация CISA всё же подняла вопрос о безопасности устройств.

Проблемы кибербезопасности и жалобы пользователей

Среди 55 000 владельцев уязвимых моделей инверторов EG4 появилось беспокойство. Пользователи, знакомые с киберугрозами, начали обсуждать ситуацию на специализированных форумах, включая Reddit. Выявленные уязвимости включают передачу данных в незашифрованном виде, отсутствие проверки целостности прошивок и слабые процедуры аутентификации. Эти недостатки, по мнению одного из клиентов компании, являются фундаментальными, а также вызвали недовольство из-за несвоевременных действий со стороны EG4.

Showalter признал, что проблемы безопасности не ограничиваются его компанией, и указал на системные риски в отрасли. Он также представил отчёт, в котором описаны 88 случаев уязвимостей в солнечных системах с 2019 года. Тем не менее, некоторые клиенты не разделяют такой точки зрения и считают, что EG4 должна была действовать более оперативно и прозрачно.

Влияние китайских поставщиков на безопасность

Время публикации CISA совпало с растущими опасениями по поводу безопасности оборудования для возобновляемой энергетики, поставляемого из Китая. Ранее сообщалось, что в некоторых инверторах и аккумуляторах были обнаружены необъявленные компоненты, включая радиомодемы, которые не отражались в официальных спецификациях. Это вызвало обеспокоенность, учитывая доминирование китайских производителей на мировом рынке. Например, компания Huawei является крупнейшим поставщиком инверторов, а в Европе более 200 гигаватт мощности солнечной энергии связано с китайскими инверторами.

В ответ на эти опасения, EG4 начала постепенное сокращение закупок компонентов у китайских поставщиков и увеличение доли компонентов из других стран, включая Германию. Однако уязвимости в системе EG4 поднимают вопросы, выходящие за рамки конкретной компании и её поставщиков. Например, специалисты из Национального института стандартов и технологий (NIST) отмечают, что массовое вмешательство в работу инверторов может привести к значительным последствиям для энергосети.

Недостатки регулирования и проблемы шифрования

В настоящее время стандарты кибербезопасности, действующие для крупных энергетических объектов, не распространяются на домашние установки. Такие требования, как CIP (Critical Infrastructure Protection) от North American Electric Reliability Corporation, применяются только к объектам мощностью 75 мегаватт и более, включая солнечные электростанции. Домашние солнечные системы находятся вне этих рамок и, соответственно, не подчиняются строгим требованиям.

Одной из проблем является передача данных в незашифрованном виде. Хотя в промышленных системах это считается недопустимым, в операционных средах, включая домашние инверторы, такой подход иногда даже рекомендуется. Это создаёт противоречие и увеличивает риск, особенно при расширении энергетической сети.

Реакция компании и дальнейшие шаги

EG4 объяснила, что начала сотрудничество с CISA ещё в июне с целью устранения уязвимостей. В результате изначального списка из 10 проблем удалось сократить число нерешённых вопросов до трёх, которые компания планирует закрыть к октябрю. В рамках этой работы были обновлены протоколы передачи прошивок, усилены меры аутентификации при технической поддержке и пересмотрены процедуры проверки доступа.

Несмотря на это, некоторые пользователи всё ещё остаются недовольны. Они указывают, что приобретали солнечные системы, считая их экологически безопасными, но в результате оказались вовлечены в сложную и недостаточно понятную киберситуацию.

Заключение

Анализ современных солнечных инверторов показал наличие серьёзных уязвимостей в их кибербезопасности, включая передачу данных в незашифрованном виде, слабую аутентификацию и отсутствие контроля целостности прошивок. Эти недостатки делают устройства потенциальной мишенью для кибератак, особенно при наличии физического доступа к оборудованию. Проблема вышла за рамки отдельной компании, поскольку подобные риски характерны для всей отрасли. Вмешательство в работу инверторов может повлиять на стабильность энергосети, что требует пересмотра подходов к обеспечению безопасности в домашних энергетических системах.

Дополнительную озабоченность вызывает зависимость от иностранных поставщиков, включая китайские компании, чьи компоненты могут содержать необъявленные элементы. В ответ EG4 начала сокращать закупки у китайских производителей, увеличивая долю компонентов из других стран. Однако текущие стандарты кибербезопасности не охватывают домашние инверторы, что создаёт щели в защите. Компания провела совместную работу с CISA, сократив количество уязвимостей, но пользователи продолжают требовать большей прозрачности и оперативности в действиях производителей.