Нещодавній звіт Агентства з кібербезпеки та інфраструктурної безпеки США (CISA) вивів на перший план питання безпеки домашніх сонячних інверторів — пристроїв, що перетворюють електроенергію з сонячних панелей у струм для побутових потреб. Вразливості в системах компанії EG4 Electronics відкрили можливості для зловмисників: при отриманні доступу до тієї ж мережі, що й інвертор, та знанні його серійного номера, хакер може перехоплювати дані, інсталювати шкідливе ПЗ чи навіть взяти під контроль цілу енергосистему будинку.
Про це розповідає ProIT
Слабкі місця безпеки та реакція клієнтів
За останнє десятиліття домашні сонячні електростанції в США перетворилися з екзотики на повсякденність: згідно з даними Управління енергетичної інформації США, кількість малих сонячних установок зросла у п’ять разів між 2014 і 2022 роками. Водночас кожен інвертор стає потенційною точкою входу для кіберзлочинців.
Вразливості EG4 викликали обурення у частини користувачів, оскільки були зафіксовані базові недоліки: дані передавалися у відкритому тексті, оновлення прошивки проходили без перевірки цілісності, а автентифікація залишалася примітивною. Деякі клієнти висловили невдоволення відсутністю попередження та рекомендацій щодо захисту.
“Це були фундаментальні провали безпеки. Додаючи образи до травми, EG4 навіть не повідомила мене чи не запропонувала варіанти вирішення”.
Генеральний директор EG4 Джеймс Шоултер визнає проблеми, але наголошує, що це стосується всієї галузі, а не лише однієї компанії. Він зазначає, що EG4 вже співпрацює з CISA для усунення більшості вразливостей, залишаючи лише три, які планують виправити до жовтня 2025 року.
Ланцюги постачання з Китаю та нові ризики
Питання безпеки домашніх сонячних систем набуло особливої актуальності на тлі занепокоєнь щодо обладнання з Китаю. Розслідування показали, що у деяких пристроях були виявлені невідомі радіомодулі та комунікаційні елементи, яких не було в офіційних списках компонентів. Враховуючи, що компанія Huawei і її китайські конкуренти забезпечують значну частку світового ринку інверторів, ці знахідки викликають ще більше занепокоєння.
Деякі країни, наприклад Литва, вже ввели обмеження на використання китайських інверторів для великих об’єктів. EG4 заявила, що також почала відмовлятися від китайських комплектуючих на користь європейських виробників.
Однак, як відзначає Національний інститут стандартів і технологій США (NIST), загроза полягає в тому, що віддалений контроль над великою кількістю інверторів одночасно може призвести до масштабних перебоїв у роботі енергомережі.
Попри це, експерти вказують на складність масованої атаки — для цього потрібно одночасно скомпрометувати тисячі пристроїв у різних домогосподарствах. Більше того, чинні стандарти критичної інфраструктури не поширюються на побутові системи, тож питання кібербезпеки залишаються рекомендаціями, а не обов’язковими вимогами.
Відтак рівень захисту домашніх сонячних систем залежить переважно від виробників, які діють у фактичному регуляторному вакуумі. Це створює ситуацію, коли тисячі домоволодінь ризикують стати частиною складної та уразливої енергетичної мережі, не підозрюючи про це.