Jamesas Showalteris apibūdina gana specifinį, jei ne visiškai neįtikėtiną košmaro scenarijų. Kažkas važiuoja iki jūsų namo, nulaužia jūsų „Wi-Fi“ slaptažodį ir tada pradeda netvarkingai sujungti saulės inverterį, pritvirtintą prie jūsų garažo-tai nereikalinga pilka dėžutė, kuri paverčia tiesioginę srovę iš jūsų stogo plokščių į kintamąją srovę, kuri maitina jūsų namus.
„Jūs turite turėti„ Solar Stalker ““, kad šis scenarijus galėtų žaisti, sako „Showalter“, apibūdindamas žmogų, kuriam reikia fiziškai pasirodyti jūsų važiuojamojoje dalyje tiek su technine žiniomis, tiek motyvacija nulaužti jūsų namų energetinę sistemą.
„Showalter“, „EG4 Electronics“, įmonės, įsikūrusios Sulfur Springs, Teksase, generalinis direktorius, nelaiko šios įvykių seka, ypač tikėtina. Vis dėlto būtent todėl jo įmonė praėjusią savaitę atsidūrė akiratyje, kai JAV kibernetinio saugumo agentūra CISA paskelbė patariamąjį išsamią saugumo pažeidžiamumą EG4 saulės inverteriuose. CISA pažymėjo trūkumai, kurie galėtų leisti užpuolikui, turinčiam prieigą prie to paties tinklo, kaip ir paveiktas keitiklis, ir jo serijos numeris, kad būtų galima perimti duomenis, įdiegti kenksmingą programinę -aparatinę įrangą ar pasinaudoti visos sistemos valdymu.
Maždaug 55 000 klientų, kuriems priklauso EG4 paveiktas keitiklio modelis, epizodas tikriausiai jautėsi kaip nerimą keliantis įvadas į įrenginį, kurį jie mažai supranta. Jie mokosi, kad šiuolaikiniai saulės keitikliai nebėra paprasti galios keitikliai. Dabar jie tarnauja kaip namų energijos įrenginių pagrindas, stebėjimo našumas, bendravimas su komunalinių paslaugų įmonėmis ir, kai yra perteklinė galia, maitindami ją atgal į tinklą.
Didžioji to dalis įvyko nepastebėdami žmonių. „Niekas nežinojo, koks po velnių saulės inverteris buvo prieš penkerius metus“, – pastebi Justinas Pascale, pagrindinis kibernetinio saugumo įmonės „Dragos“ konsultantas, kuris specializuojasi pramonės sistemose. „Dabar mes apie tai kalbame nacionaliniu ir tarptautiniu lygiu“.
Saugumo trūkumai ir klientų skundai
Kai kurie skaičiai pabrėžia, kiek atskiri namai JAV tampa miniatiūrinėmis elektrinėmis. Remiantis JAV energetikos informacijos administracija, nuo 2014 iki 2022 m. Smulkios saulės energijos įrenginiai-pirmiausia gyventojai-išaugo daugiau nei penkis kartus per 2014–2022 m. Tai kadaise buvo klimato šalininkų ir ankstyvųjų įvaikių provincija dėl mažėjančių išlaidų, vyriausybės paskatų ir vis didėjančio klimato pokyčių suvokimo.
Kiekvienas saulės energijos diegimas prideda dar vieną mazgą į besiplečiantį sujungtų įrenginių tinklą, kiekvienas prisideda prie energetinės nepriklausomybės, bet taip pat tampa potencialiu įėjimo tašku asmeniui, turinčiam kenkėjišką ketinimą.
„TechCrunch“ renginys
San Franciskas
|
2025 m. Spalio 27–29 d
Paspaudęs apie savo įmonės saugumo standartus, „Showalter“ pripažįsta savo trūkumus, tačiau jis taip pat nukreipia. „Tai nėra EG4 problema“, – sako jis. „Tai visos pramonės problema“. Dėl mastelio keitimo ir vėliau šio redaktoriaus gautuosiuose jis sukūrė 14 puslapių ataskaitą, kataloguojančią 88 saulės energijos pažeidžiamumą nuo 2019 m. Komercinėse ir gyvenamosiose vietose.
Ne visi jo klientai – kai kurie iš jų ėmėsi „Reddit“ skųstis – yra simpatiški, ypač atsižvelgiant į tai, kad CISA patariamajai paaiškėjo pagrindiniai dizaino trūkumai: ryšys tarp stebėjimo programų ir keitiklių, kurie įvyko neužrašytame paprastame tekste, programinės įrangos atnaujinimuose, kuriuose trūko vientisumo patikrinimų ir pradinių autentifikavimo procedūrų.
„Tai buvo esminiai saugumo trūkumai“, – sako vienas bendrovės klientas, kuris paprašė kalbėti anonimiškai. „Pridedant įžeidimą dėl traumos“, – tęsia šis asmuo, – EG4 net nesivargino man pranešti ar pasiūlyti siūlomų švelninimo “.
Paklaustas, kodėl „EG4“ nedelsdamas įspėjo klientus, kai CISA susisiekė su įmone, „Showalter“ tai vadina „gyvo ir mokykitės“ akimirka.
„Kadangi mes taip arti (siekdami išspręsti CISA rūpesčius) ir tai yra toks teigiamas santykis su CISA, mes ketinome patekti į mygtuką„ padaryti “ir tada patarti žmonėms, taigi mes nesame iškepti pyrago viduryje“, – sako Showalter.
Norėdami gauti daugiau informacijos, „TechCrunch“ susisiekė su CISA anksčiau šią savaitę; Agentūra neatsakė. Patariant apie EG4, CISA teigia, kad „šiuo metu pranešta apie CISA žinomą visuomenės išnaudojimą, skirtą šiems pažeidžiamumams.“
Ryšiai su Kinija sukelia saugumo problemas
Nors EG4 viešųjų ryšių krizės laikas nesusijęs, sutampa su didesniu nerimu dėl atsinaujinančios energijos įrangos tiekimo grandinės saugumo.
Anksčiau šiais metais JAV energetikos pareigūnai, kaip pranešama, pradėjo iš naujo įvertinti riziką, kurią kelia Kinijoje pagaminti įrenginiai, atradę nepaaiškinamą ryšio įrangą kai kuriuose keitikliuose ir baterijose. Remiantis „Reuters“ tyrimu, nedokumentuojami ląstelių radijo imtuvai ir kiti komunikacijos įrenginiai buvo rasti kelių Kinijos tiekėjų – komponentų, kurie nebuvo rodomi oficialiuose aparatūros sąrašuose, įrangoje.
Šis praneštas „Discovery“ turi ypatingą svorį, atsižvelgiant į Kinijos dominavimą saulės gamykloje. Ta pati „Reuters“ istorija pažymėjo, kad „Huawei“ yra didžiausias pasaulyje keitiklių tiekėjas, kuris sudaro 29% siuntų visame pasaulyje 2022 m., Po to seka Kinijos bendraamžiai Sungrow ir Ginlong Solis. Maždaug 200 GW Europos saulės energijos talpos yra susijusios su Kinijoje pagamintais keitikliais, kurie maždaug prilygsta daugiau nei 200 atominių elektrinių.
Geopolitiniai padariniai neišvengė pranešimo. Praėjusiais metais „Lietuvoje“ priėmė įstatymą, blokuojantį nuotolinę Kinijos prieigą prie saulės, vėjo ir akumuliatorių įrengimo, viršijančio 100 kilovatų, veiksmingai ribojant kinų keitiklių naudojimą. „Showalter“ sako, kad jo įmonė reaguoja į klientų susirūpinimą, panašiai pradėdama pasitraukti iš Kinijos tiekėjų ir link komponentų, kuriuos sudaro kompanijos kitur, įskaitant Vokietiją.
Tačiau „EG4“ sistemose aprašytos pažeidžiamumai CISA kelia klausimus, kurie viršija bet kurios bendrovės praktiką arba kai ji šaldo savo komponentus. JAV standartų agentūra NIST perspėja, kad „jei nuotoliniu būdu kontroliuojate pakankamai didelį skaičių namų saulės keitiklių ir padarysite tai, kas iš karto padarysi nemandagų, tai ilgą laiką galėtų turėti katastrofiškų padarinių tinklui.“
Geros naujienos (jei tokių yra), nors ir teoriškai įmanoma, šis scenarijus susiduria su daugybe praktinių apribojimų.
Pascale, dirbantis su komunalinių saulės energijos įrenginiais, pažymi, kad gyvenamieji keitikliai pirmiausia atlieka dvi funkcijas: konvertuoti galią iš tiesioginės į kintamąją srovę ir palengvinti ryšį atgal į tinklą. Masiniam išpuoliui prireiktų kompromituoti daugybę atskirų namų vienu metu. (Tokie išpuoliai nėra neįmanomi, tačiau labiau linkę nukreipti į pačius gamintojus, kai kurie iš jų turi nuotolinę prieigą prie savo klientų saulės keitiklių, kaip tai patvirtina saugumo tyrinėtojai pernai.)
Reguliavimo sistema, reglamentuojanti didesnius įrenginius, šiuo metu nėra taikoma gyvenamosioms sistemoms. Šiaurės Amerikos elektros patikimumo korporacijos kritinės infrastruktūros apsaugos standartai šiuo metu taikomi tik didesniems įrenginiams, gaminantiems 75 ar daugiau megavatų, pavyzdžiui, saulės energijos ūkius.
Kadangi gyvenamieji įrenginiai yra taip pat žemesni už šias ribas, jie veikia reguliuojančioje pilkosios zonoje, kur kibernetinio saugumo standartai išlieka pasiūlymais, o ne reikalavimais.
Tačiau galutinis rezultatas yra tas, kad tūkstančių mažų įrenginių saugumas daugiausia priklauso nuo atskirų gamintojų, veikiančių reguliavimo vakuume, nuožiūra.
Pvz., Neįšifruoto duomenų perdavimo klausimu, o tai yra viena iš priežasčių, dėl kurių EG4 gavo tą rankos iš CISA, Pascale pažymi, kad naudingumo masto veikimo aplinkoje paprastas teksto perdavimas yra dažnas ir kartais skatinamas tinklo stebėjimo tikslais.
„Kai žiūrite į šifravimą įmonės aplinkoje, tai neleidžiama“, – aiškina jis. „Bet kai žiūrite į veiklos aplinką, dauguma dalykų perduodami paprastu tekstu“.
Kitaip tariant, tikrasis susirūpinimas nėra tiesioginė grėsmė individualiems namų savininkams. Vietoj to, tai siejasi su visumu sparčiai besiplečiančio tinklo pažeidžiamumu. Kai energijos tinklas vis labiau pasiskirsto, kai galia tekėjo iš milijonų mažų šaltinių, o ne dešimtys didelių, atakos paviršius plečiasi eksponentiškai. Kiekvienas keitiklis rodo galimą slėgio tašką sistemoje, kuri niekada nebuvo sukurta taip, kad atitiktų tokį sudėtingumo lygį.
„Showalter“ priėmė CISA intervenciją kaip tai, ką jis vadina „pasitikėjimo atnaujinimu“ – galimybę atskirti savo įmonę perpildytoje rinkoje. Jis sako, kad nuo birželio mėn. EG4 bendradarbiavo su agentūra, norėdama išspręsti nustatytus pažeidžiamumus, sumažindamas pradinį 10 susirūpinimo sąrašą iki trijų likusių punktų, kuriuos bendrovė tikisi išspręsti iki spalio mėn. Procesas apėmė programinės aparatinės įrangos perdavimo protokolų atnaujinimą, papildomo tapatybės patikrinimo įgyvendinimą techninių palaikymo skambučiams ir autentifikavimo procedūrų pertvarkymą.
Tačiau tiems, kaip anoniminiam EG4 klientui, kuris su nusivylimu kalbėjo dėl bendrovės atsakymo, epizodas pabrėžia keistą poziciją, kurioje atsiduria saulės energija. Jie įsigijo tai, ką suprato kaip klimatą draugišką techniką, tik norėdami sužinoti, kad jie taps nenumaldomais dalyviais „Knotty“ kibernetinio saugumo kraštovaizdyje, kuris, atrodo, visiškai supranta.
