Cyberbezpieczeństwo europejskich elektrowni słonecznych

Raport europejskiego stowarzyszenia SolarPower Europe wskazuje na wyzwania związane z cyberbezpieczeństwem urządzeń fotowoltaicznych w Unii Europejskiej. Głównym problemem jest podatność podłączonych falowników na ataki oraz zarządzanie danymi za pośrednictwem usług chmurowych poza Europą.

W związku z tym, że energia słoneczna staje się strategicznym filarem transformacji energetycznej w Europie, pojawia się kolejne, mniej widoczne, ale równie krytyczne wyzwanie: cyberbezpieczeństwo urządzeń fotowoltaicznych.

Raport opublikowany 29 kwietnia przez organizację SolarPower Europe we współpracy z DNV i Europejskim Forum Inwerterów wskazuje na niepokojące luki w bezpieczeństwie cyfrowym tej branży. Dokument zatytułowany „Sektor energii słonecznej proponuje rozwiązania mające na celu ograniczenie krytycznych zagrożeń dla cyberbezpieczeństwa” zawiera jasne stwierdzenie: inteligentne falowniki, kluczowy element elektrowni słonecznych, stanowią podatną bramę dla coraz bardziej wyrafinowanych cyberataków.

Nadal niewystarczające ramy regulacyjne i zarządzanie
W przeciwieństwie do tradycyjnej infrastruktury energetycznej, falowniki słoneczne są często projektowane i wykorzystywane jako obiekty podłączone do sieci. Są one dostępne zdalnie dla kilku podmiotów zaangażowanych w zarządzanie instalacją: producentów, instalatorów, agregatorów energii, operatorów sieci itp. W tym celu informacje, dane i niektóre funkcje są hostowane online w oparciu o usługi w chmurze. Rosnąca liczba podmiotów mających bezpośredni lub pośredni dostęp do tych falowników zwiększa ryzyko naruszenia bezpieczeństwa. Ten szybko rozwijający się sektor staje się zatem głównym celem ataków ransomware (blokujących dostęp w zamian za okup) lub innych zagrożeń, czasem nawet fizycznych, takich jak zdalne wyłączenie lub zakłócenie infrastruktury.

Chociaż w ostatnich latach Unia Europejska wzmocniła swoje przepisy dyrektywą NIS2, ustawą o cyberodporności (CRA), kodeksem sieciowym dotyczącym cyberbezpieczeństwa (NCCS) lub, w uproszczeniu, ogólnym rozporządzeniem o ochronie danych osobowych (RODO), przepisy te są przeznaczone dla całej infrastruktury krytycznej i nie zawsze uwzględniają specyficzne potrzeby energii słonecznej. Na przykład małe instalacje fotowoltaiczne w budynkach mieszkalnych lub komercyjnych często nie spełniają wartości progowych określonych w przepisach. Ponadto brak jednego operatora odpowiedzialnego za bezpieczeństwo utrudnia stosowanie solidnych standardów w poszczególnych projektach.

Chociaż prawie 70 % instalacji mieszkalnych i komercyjnych jest obecnie podłączonych do internetu, wiedza instalatorów i dostawców usług w zakresie cyberbezpieczeństwa pozostaje ograniczona ze względu na stopień zaawansowania potencjalnych ataków. Złe praktyki – domyślne hasła, brak zapór sieciowych, niezabezpieczone konfiguracje – są powszechne. Niewłaściwie poinformowani użytkownicy końcowi często nie są świadomi zagrożeń związanych z dostępem zdalnym lub przechowywaniem danych w centrach danych poza UE, czasami w mniej chronionych jurysdykcjach.

Potrzeba odpowiednich środków
Sytuacja jest jeszcze bardziej niepokojąca, jeśli weźmiemy pod uwagę skalę mocy, o których mowa. W 2023 r. siedmiu producentów falowników miało potencjał do zdalnego sterowania ponad 10 GW zainstalowanej mocy. Zagrożenie dla tylko jednego z tych podmiotów mogłoby potencjalnie wpłynąć na stabilność europejskiej sieci elektrycznej. Dane wrażliwe, zarówno w czasie rzeczywistym, jak i dotyczące informacji o użytkownikach, mogą być również narażone na ryzyko szpiegostwa lub sabotażu, zwłaszcza jeśli serwery są hostowane poza UE.

W związku z tymi ustaleniami SolarPower Europe opowiada się za przyjęciem „zharmonizowanego ramowego systemu bezpieczeństwa cybernetycznego dla fotowoltaiki”, w szczególności dla inteligentnych falowników. W sprawozdaniu podkreślono potrzebę oceny rozproszonych systemów słonecznych pod kątem ich rzeczywistego poziomu ryzyka, określenia jasnych zasad zarządzania bezpieczeństwem przez cały okres eksploatacji urządzeń, zwiększenia świadomości konsumentów i wspierania systemów, które są bezpieczne już w ustawieniach domyślnych, oraz rozwiązania problemu braku europejskiej normy poświęconej całemu zdecentralizowanemu systemowi, w tym jego infrastrukturze cyfrowej.