Джеймс Шоултер описує досить специфічний, але не зовсім нереалістичний сценарій жахів. Хтось під’їжджає до вашого будинку, зламує ваш Wi-Fi пароль і починає маніпулювати сонячним інвертором, встановленим поруч із вашим гаражем. Цей непомітний сірий пристрій перетворює постійний струм з ваших сонячних панелей у змінний струм, який живить ваш будинок.
«Вам потрібен сонячний переслідувач», щоб цей сценарій став реальністю, говорить Шоултер, описуючи людину, яка повинна фізично з’явитися на вашій алеї, маючи технічні знання та мотиви, щоб зламати вашу домашню енергосистему.
Генеральний директор EG4 Electronics, компанії, що базується в Салфур-Спрінгс, Техас, не вважає цей порядок подій особливо ймовірним. Однак, саме ця ситуація зробила його компанію об’єктом уваги на минулому тижні, коли американська агенція кібербезпеки CISA опублікувала повідомлення про вразливості в сонячних інверторах EG4. CISA зазначила, що недоліки можуть дозволити зловмиснику, який має доступ до тієї ж мережі, що і вражений інвертор, перехоплювати дані, встановлювати шкідливе ПЗ або захоплювати контроль над усією системою.
Для приблизно 55,000 споживачів, які мають постраждалу модель інвертора EG4, цей епізод міг бути тривожним знайомством із пристроєм, який вони мало розуміють. Вони дізнаються, що сучасні сонячні інвертори більше не є просто перетворювачами енергії. Вони тепер слугують основою домашніх енергетичних установок, контролюючи продуктивність, спілкуючись з комунальними компаніями і, коли є надлишок енергії, повертаючи її назад у мережу.
Багато чого з цього відбувалося без усвідомлення людей. «Ніхто не знав, що таке сонячний інвертор п’ять років тому», зазначає Джастін Паскале, головний консультант компанії Dragos, що спеціалізується на промислових системах кібербезпеки. «Тепер ми говоримо про це на національному та міжнародному рівнях.»
Недоліки в безпеці та скарги споживачів
Деякі дані демонструють, наскільки окремі домогосподарства в США перетворюються на міні-електростанції. Згідно з даними Бюро енергетичної інформації США, встановлення малих сонячних систем — в основному житлових — зросли більш ніж у п’ять разів з 2014 по 2022 рік. Те, що колись було справою захисників клімату та ранніх адоптерів, стало більш поширеним завдяки зниженню витрат, державним стимулюванням та зростаючій обізнаності про зміни клімату.
Кожна сонячна установка додає ще один вузол до розширювальної мережі взаємопов’язаних пристроїв, кожен з яких сприяє енергетичній незалежності, але також стає потенційною точкою входу для тих, хто має злі наміри.
Запитуючи про стандарти безпеки компанії, Шоултер визнає їх недоліки, але також відхиляє відповідальність. «Це не проблема EG4», говорить він. «Це проблема всієї галузі.» На зум-конференції та пізніше в електронному листі редактора він презентує 14-сторінковий звіт, що містить 88 повідомлень про вразливості сонячної енергії у комерційних та житлових застосуваннях з 2019 року.
Не всі його клієнти — деякі з яких скаржилися на Reddit — сприймають ситуацію з розумінням, особливо враховуючи, що рекомендації CISA виявили фундаментальні недоліки в дизайні: комунікація між моніторинговими застосунками та інверторами, що відбувалася в незахищеному відкритому тексті, оновлення ПЗ, які не мали перевірки цілісності, і елементарні процедури аутентифікації.
«Це були фундаментальні недоліки безпеки», говорить один із клієнтів компанії, який попросив залишитися анонімним. «Додаючи образу до образи», продовжує він, «EG4 навіть не потрудився попередити мене або запропонувати можливі рішення.»
Коли його запитали, чому EG4 не сповістила клієнтів негайно, коли CISA зв’язалася з компанією, Шоултер називає це «моменом навчання».
«Оскільки ми так близько [до вирішення проблеми CISA] і це таке позитивне співробітництво з CISA, ми планували дійти до кнопки «зроблено», а потім поінформувати людей, щоб ми не опинилися посередині процесу», говорить Шоултер.
На початку цього тижня TechCrunch звернулася до CISA для отримання додаткової інформації; агенція не відповіла. У своєму повідомленні про EG4 CISA вказує, що «в даний час не зафіксовано жодного відомого публічного випадку експлуатації, що безпосередньо націлювалася на ці вразливості».
Зв’язки з Китаєм викликають занепокоєння щодо безпеки
Хоча це й не пов’язано, час кризису PR EG4 збігається з більш широкими занепокоєннями щодо безпеки постачальників обладнання для відновлювальної енергії.
На початку цього року американські енергетичні чиновники нібито почали переоцінювати ризики, пов’язані з пристроями, виготовленими в Китаї, після виявлення невідомого обладнання зв’язку в деяких інверторах і акумуляторах. За даними розслідування Reuters, в обладнанні кількох китайських постачальників були виявлені недокументовані стільникові радіостанції та інші комунікаційні пристрої, які не з’явилися в офіційних списках обладнання.
Ця виявлена інформація є особливо важливою з огляду на домінування Китаю у виробництві сонячних технологій. Той же звіт Reuters зазначив, що компанія Huawei є найбільшим у світі постачальником інверторів, що становить 29% світових поставок у 2022 році, за нею йдуть китайські конкуренти Sungrow та Ginlong Solis. Близько 200 ГВт потужності сонячної енергії в Європі пов’язано з інверторами, виготовленими в Китаї, що приблизно дорівнює більш ніж 200 ядерним електростанціям.
Геополітичні наслідки не залишилися непоміченими. Литва минулого року ухвалила закон, що забороняє віддалений доступ Китаю до сонячних, вітряних і акумуляторних установок потужністю понад 100 кВт, фактично обмежуючи використання китайських інверторів. Шоултер каже, що його компанія реагує на занепокоєння клієнтів, поступово переходячи на компоненти, що виготовляються в інших країнах, зокрема в Німеччині, замість китайських постачальників.
Однак вразливості, описані CISA в системах EG4, підвищують питання, що виходять за рамки практик окремих компаній або походження їхніх компонентів. Агентство стандартів США NIST попереджає, що «якщо ви віддалено контролюєте достатню кількість домашніх сонячних інверторів і одночасно здійснюєте щось зловмисне, це може мати катастрофічні наслідки для енергомережі на тривалий період».
Добра новина (якщо можна так сказати) полягає в тому, що, хоча теоретично можливий, цей сценарій стикається з багатьма практичними обмеженнями.
Паскале, який працює з установками великомасштабної сонячної енергії, зазначає, що житлові інвертори виконують в основному дві функції: перетворення енергії з постійного на змінний струм і полегшення підключення назад до мережі. Масована атака вимагала б компрометації величезної кількості окремих домогосподарств одночасно. (Такі атаки не є неможливими, але, ймовірно, будуть більш схожі на атакування виробників, деякі з яких мають віддалений доступ до сонячних інверторів своїх клієнтів, як виявили дослідники з безпеки минулого року.)
Регуляторні норми, що регулюють більші установки, наразі не поширюються на житлові системи. Стандарти захисту критичної інфраструктури Північноамериканської корпорації електричної надійності в даний час застосовуються лише до більших об’єктів, що виробляють 75 мегават і більше, наприклад, сонячних електростанцій.
Оскільки житлові установки знаходяться на значно нижчому рівні, вони функціонують у регуляторній зоні, де стандарти кібербезпеки залишаються лише рекомендаціями, а не вимогами.
Але в кінцевому рахунку, безпека тисяч малих установок залежить в основному від рішення окремих виробників, які діють у регуляторному вакуумі.
Наприклад, з приводу незахищеної передачі даних, що є однією з причин, чому EG4 отримала цей зазирок від CISA, Паскале зазначає, що у великомасштабних експлуатаційних середовищах передача в відкритому тексті є звичайною справою і іноді навіть рекомендується для моніторингу мережі.
«Коли ви дивитеся на шифрування в корпоративному середовищі, це не дозволяється», пояснює він. «Але коли ви дивитесь на робоче середовище, більшість речей передаються в незахищеному вигляді.»
Справжня проблема полягає не в негайній загрозі для окремих власників будинків. Натомість це пов’язано з накопиченою вразливістю швидко зростаючої мережі. Оскільки енергетична мережа стає все більш дистрибутивною, з енергією, що надходить з мільйонів малих джерел, а не десятків великих, поверхня для атак експоненційно розширюється. Кожен інвертор представляє потенційну точку тиску в системі, яка ніколи не була спроектована для такої складності.
Шоултер сприйняв втручання CISA як можливість для «підвищення довіри» — шанс відрізнити свою компанію на переповненому ринку. Він стверджує, що з червня EG4 працює з агенцією, щоб усунути виявлені вразливості, зменшивши початковий список з десяти проблем до трьох, які компанія планує вирішити до жовтня. Процес передбачав оновлення протоколів передачі прошивок, впровадження додаткової ідентифікації для дзвінків технічної підтримки та перепроектування процедур аутентифікації.
Але для клієнтів, таких як анонімний клієнт EG4, який з обуренням говорив про відповідь компанії, цей епізод підкреслює дивне становище, в якому опинилися користувачі сонячної енергії. Клієнти EG4 купували те, що вважали екологічно чистою технологією, тільки щоб виявити, що вони стали невільними учасниками заплутаного ландшафту кібербезпеки, який мало хто повністю розуміє.
