Европейските соларни централи са изложени на риск от кибератаки, особено чрез инверторите на съоръженията
Източник: 3eNews, архив.
Тъй като слънчевата енергия се превръща в стратегически стълб на енергийния преход в Европа, възниква друго, по-малко видимо, но също толкова критично предизвикателство: киберсигурността на фотоволтаичните инсталации.
В доклад, публикуван преди седмица от SolarPower Europe в сътрудничество с DNV и Европейския форум на инверторите, се подчертават тревожните пропуски в цифровата сигурност на ВЕИ сектора. Документът е озаглавен „Соларният сектор предлага решения за намаляване на критичните рискове за киберсигурността“, документът прави директна констатация: интелигентните инвертори, ключов компонент на соларните електроцентрали, представляват уязвима вратичка за все по-сложни кибератаки.
Регулаторна рамка и управление все още са недостатъчно добри
За разлика от традиционната енергийна инфраструктура, соларните инвертори често се проектират и използват като свързани обекти. Те са отдалечено достъпни за няколко заинтересовани страни, участващи в управлението на инсталацията: производители, монтажници, енергийни агрегатори, мрежови оператори и др. За тази цел информацията, данните и някои функционалности се хостват онлайн, на базата на облачни услуги. Увеличаващият се брой на заинтересованите страни с пряк или непряк достъп до тези инвертори увеличава риска от пробиви във сигурността. Поради това бързоразвиващият се сектор се превръща в основна мишена за ransomware (зловреден софтуер, който блокира достъпа в замяна на откуп) или други заплахи, понякога дори физически, като дистанционно изключване или прекъсване на инфраструктурата.
Въпреки че през последните години Европейският съюз засили законодателството си с директивата NIS2, Закона за кибернетичната устойчивост (CRA), Мрежовия кодекс за киберсигурност (NCCS) или, по-просто казано, Общия регламент за защита на данните (GDPR), тези разпоредби са предназначени за всички критични инфраструктури и не винаги отговарят на специфичните нужди на слънчевата енергия. Например, малките жилищни или търговски фотоволтаични инсталации често попадат извън праговете, определени от регламентите. Освен това липсата на единен оператор, който да отговаря за сигурността, затруднява прилагането на надеждни стандарти за всеки проект.
Въпреки че близо 70% от жилищните и търговските инсталации вече са свързани с интернет, познанията на инсталаторите и доставчиците на услуги в областта на киберсигурността остават ограничени предвид сложността на потенциалните атаки. Лошите практики - пароли по подразбиране, липса на защитни стени, несигурни конфигурации - са често срещани. Слабо информираните крайни потребители често не са наясно с рисковете, свързани с отдалечен достъп или съхранение на данни в центрове за данни извън ЕС, понякога в по-слабо защитени юрисдикции.
Увеличаване на мащаба: Необходимост от пропорционални мерки
Ситуацията става още по-обезпокоителна, ако се вземе предвид мащабът на съответните капацитети. През 2023 г. седем от основните производители на инвертори имаха потенциала да манипулират дистанционно повече от 10 GW инсталирана мощност. Компрометирането на само един от тези играчи би могло потенциално да засегне стабилността на европейската електроенергийна мрежа. Чувствителните данни, независимо дали са в реално време или включват информация за потребителите, също могат да бъдат изложени на рискове от шпионаж или саботаж, особено ако сървърите са разположени извън ЕС.
Изправена пред тези констатации, SolarPower Europe се застъпва за приемането на „хармонизирана рамка за киберсигурност за фотоволтаиците“, по-специално за интелигентните инвертори. В доклада се подчертава необходимостта от оценка на разпределените соларни системи според реалното им ниво на риск, от определяне на ясно управление на сигурността през целия жизнен цикъл на инсталациите, от повишаване на осведомеността на потребителите и насърчаване на системите, които са сигурни по подразбиране, както и от преодоляване на липсата на европейски стандарт, посветен на цялата децентрализирана система, включително нейната цифрова инфраструктура.