جیمز شوالتر سناریوی کابوسواری را توصیف میکند که اگرچه بعید نیست، اما کاملاً هم محتمل نیست. شخصی با ماشین به سمت خانهتان میآید، رمز وایفای شما را هک میکند و سپس شروع میکند به دستکاری اینورتر خورشیدی که در کنار گاراژ شما نصب شده است. این جعبه خاکستریرنگِ بیادعا، جریان مستقیم برق تولیدشده توسط پنلهای خورشیدی روی پشتبام شما را به جریان متناوب برق تبدیل میکند که برق خانه شما را تامین میکند.
شوالتر میگوید: «برای اینکه این سناریو اتفاق بیفتد، باید یک “مزاحم خورشیدی” داشته باشید.» او اینگونه فردی را توصیف میکند که باید بهطور فیزیکی با دانش فنی و انگیزه کافی در جلوی خانه شما حاضر شود تا سیستم انرژی خانه شما را هک کند.
مدیرعامل شرکت EG4 Electronics که در تگزاس واقع شده است، این زنجیره رویدادها را چندان محتمل نمیداند. با این حال، به همین دلیل هفته گذشته شرکت او زمانی مورد توجه قرار گرفت که سازمان امنیت سایبری آمریکا (CISA) هشداری را منتشر کرد که جزئیات آسیبپذیریهای امنیتی در اینورترهای خورشیدی EG4 را شرح میداد. CISA خاطرنشان کرد که این نقصها میتواند به یک مهاجم با دسترسی به همان شبکهای که اینورتر آسیبدیده و شماره سریال آن در آن قرار دارد، اجازه دهد تا دادهها را رهگیری کند، میانافزار مخرب را نصب کند یا کنترل کل سیستم را به دست بگیرد.
برای حدود 55000 مشتری که صاحب مدل اینورتر آسیبدیده EG4 هستند، این اتفاق احتمالاً مانند یک معرفی ناخوشایند به دستگاهی بود که شناخت کمی از آن دارند. چیزی که آنها متوجه میشوند این است که اینورترهای خورشیدی مدرن دیگر فقط مبدلهای برق ساده نیستند. آنها اکنون به عنوان ستون فقرات تاسیسات انرژی خانگی عمل میکنند، عملکرد را نظارت میکنند، با شرکتهای خدمات شهری ارتباط برقرار میکنند و در صورت وجود برق اضافی، آن را به شبکه بازمیگردانند.
بسیاری از این اتفاقات بدون توجه مردم رخ داده است. جاستین پاسکال، مشاور اصلی در شرکت Dragos، یک شرکت امنیت سایبری که در سیستمهای صنعتی تخصص دارد، میگوید: «پنج سال پیش هیچکس نمیدانست اینورتر خورشیدی چیست. اکنون داریم در مورد آن در سطح ملی و بینالمللی صحبت میکنیم.»
**نواقص امنیتی و شکایات مشتریان**
برخی از آمارها نشان میدهد که خانههای شخصی در ایالات متحده تا چه حد در حال تبدیل شدن به نیروگاههای کوچک هستند. بر اساس گزارش اداره اطلاعات انرژی ایالات متحده، تاسیسات خورشیدی در مقیاس کوچک – که عمدتاً مسکونی هستند – بین سالهای 2014 و 2022 بیش از پنج برابر رشد کردهاند. چیزی که زمانی قلمرو طرفداران محیط زیست و پذیرندگان اولیه بود، به دلیل کاهش هزینهها، مشوقهای دولتی و افزایش آگاهی از تغییرات آبوهوایی، به جریان اصلی تبدیل شد.
هر تاسیسات خورشیدی یک گره دیگر به یک شبکه در حال گسترش از دستگاههای متصل به هم اضافه میکند که هر کدام به استقلال انرژی کمک میکنند، اما در عین حال به یک نقطه ورود بالقوه برای فردی با قصد مخرب تبدیل میشوند.
وقتی از شوالتر در مورد استانداردهای امنیتی شرکتش سؤال شد، او ضمن اذعان به کاستیها، از پاسخ دادن مستقیم طفره رفت. او میگوید: «این مشکل EG4 نیست. این یک مشکل در کل صنعت است.» او در یک تماس ویدیویی و بعداً در ایمیل، گزارشی ۱۴ صفحهای ارائه کرد که ۸۸ مورد افشای آسیبپذیری انرژی خورشیدی را در کاربردهای تجاری و مسکونی از سال ۲۰۱۹ فهرست میکرد.
همه مشتریان او – که برخی از آنها برای شکایت به Reddit روی آورده بودند – همدل نیستند، به خصوص با توجه به اینکه هشدار CISA نقصهای اساسی طراحی را آشکار کرد: ارتباط بین برنامههای نظارت و اینورترها که در متن ساده و رمزگذاری نشده رخ میداد، بهروزرسانیهای میانافزاری که فاقد بررسی یکپارچگی بودند و رویههای احراز هویت ابتدایی.
یکی از مشتریان شرکت که خواست نامش فاش نشود، میگوید: «اینها اشتباهات امنیتی اساسی بودند. بدتر از آن، EG4 حتی زحمت نداد به من اطلاع دهد یا راهکارهای پیشنهادی ارائه کند.»
وقتی از شوالتر پرسیده شد که چرا EG4 زمانی که CISA با این شرکت تماس گرفت، فوراً به مشتریان هشدار نداد، او آن را یک لحظه “تجربه آموزنده” خواند.
شوالتر میگوید: «از آنجایی که ما خیلی [به رفع نگرانیهای CISA] نزدیک هستیم و رابطه بسیار مثبتی با CISA داریم، قصد داشتیم به دکمه “انجام شد” برسیم و سپس به مردم اطلاع دهیم، بنابراین در وسط پخت کیک گیر نکنیم.»
خبرنگار در اوایل این هفته برای کسب اطلاعات بیشتر با CISA تماس گرفت، اما این سازمان هنوز پاسخی نداده است. CISA در اطلاعیه خود درباره EG4 اعلام میکند که “هیچ بهرهبرداری عمومی شناخته شدهای که به طور خاص این آسیبپذیریها را هدف قرار دهد، در حال حاضر به CISA گزارش نشده است.”
**ارتباط با چین نگرانیهای امنیتی را برانگیخته است**
بحران روابط عمومی EG4، اگرچه بیارتباط است، با نگرانیهای گستردهتری در مورد امنیت زنجیره تامین تجهیزات انرژیهای تجدیدپذیر همزمان شده است.
گزارش شده است که مقامات انرژی ایالات متحده در اوایل سال جاری پس از کشف تجهیزات ارتباطی غیرقابل توضیح در داخل برخی از اینورترها و باتریها، ارزیابی مجدد خطرات ناشی از دستگاههای ساخت چین را آغاز کردند. بر اساس تحقیقات رویترز، رادیوهای سلولی ثبت نشده و سایر دستگاههای ارتباطی در تجهیزات چندین تامین کننده چینی یافت شد – قطعاتی که در لیست سختافزاری رسمی ظاهر نشده بودند.
این کشف گزارش شده با توجه به تسلط چین در تولید انرژی خورشیدی، اهمیت ویژهای دارد. در همان گزارش رویترز اشاره شده است که هواوی بزرگترین تامین کننده اینورتر در جهان است و 29 درصد از حمل و نقل جهانی را در سال 2022 به خود اختصاص داده است و پس از آن شرکتهای چینی Sungrow و Ginlong Solis قرار دارند. حدود 200 گیگاوات ظرفیت انرژی خورشیدی اروپا به اینورترهای ساخت چین مرتبط است که تقریباً معادل بیش از 200 نیروگاه هستهای است.
پیامدهای ژئوپلیتیکی از نظرها دور نمانده است. لیتوانی سال گذشته قانونی را تصویب کرد که دسترسی از راه دور چین به تأسیسات خورشیدی، بادی و باتری بالای 100 کیلووات را مسدود میکند و عملاً استفاده از اینورترهای چینی را محدود میکند. شوالتر میگوید که شرکتش با شروع دور شدن از تامین کنندگان چینی و روی آوردن به قطعات ساخته شده توسط شرکتهای دیگر، از جمله در آلمان، به نگرانیهای مشتریان پاسخ میدهد.
اما آسیبپذیریهایی که CISA در سیستمهای EG4 توصیف کرد، سوالاتی را مطرح میکند که فراتر از شیوههای هر شرکت واحد یا جایی که قطعات خود را تهیه میکند، گسترش مییابد. سازمان استاندارد ایالات متحده، NIST هشدار میدهد که “اگر از راه دور تعداد کافی اینورتر خورشیدی خانگی را کنترل کنید و همزمان کار شومی انجام دهید، میتواند پیامدهای فاجعهباری برای شبکه برای مدت طولانی داشته باشد.”
خبر خوب (اگر وجود داشته باشد) این است که اگرچه از نظر تئوری امکان پذیر است، این سناریو با محدودیتهای عملی زیادی روبرو است.
پاسکال، که با تأسیسات خورشیدی در مقیاس بزرگ کار میکند، خاطرنشان میکند که اینورترهای مسکونی در درجه اول دو عملکرد دارند: تبدیل برق از جریان مستقیم به جریان متناوب و تسهیل اتصال مجدد به شبکه. یک حمله گسترده مستلزم به خطر انداختن تعداد زیادی از خانههای شخصی به طور همزمان است. (چنین حملاتی غیرممکن نیستند، اما احتمال بیشتری دارد که تولیدکنندگان خود را هدف قرار دهند، که برخی از آنها به اینورترهای خورشیدی مشتریان خود دسترسی از راه دور دارند، همانطور که محققان امنیتی در سال گذشته نشان دادند.)
چارچوب نظارتی که بر تأسیسات بزرگتر حاکم است، در حال حاضر به سیستمهای مسکونی تعمیم نمییابد. استانداردهای حفاظت از زیرساختهای حیاتی شرکت قابلیت اطمینان برق آمریکای شمالی در حال حاضر فقط برای تاسیسات بزرگتری که 75 مگاوات یا بیشتر تولید میکنند، مانند مزارع خورشیدی اعمال میشود.
از آنجایی که تأسیسات مسکونی بسیار کمتر از این آستانهها هستند، در یک منطقه خاکستری نظارتی فعالیت میکنند که در آن استانداردهای امنیت سایبری به جای الزامات، پیشنهادات باقی میمانند.
اما نتیجه نهایی این است که امنیت هزاران تاسیسات کوچک تا حد زیادی به اختیار تولیدکنندگان منفرد بستگی دارد که در یک خلاء نظارتی فعالیت میکنند.
به عنوان مثال، در مورد انتقال دادههای رمزگذاری نشده، که یکی از دلایلی است که EG4 از CISA توبیخ شد، پاسکال خاطرنشان میکند که در محیطهای عملیاتی در مقیاس بزرگ، انتقال متن ساده رایج است و گاهی اوقات برای اهداف نظارت بر شبکه تشویق میشود.
او توضیح میدهد: «وقتی به رمزگذاری در یک محیط سازمانی نگاه میکنید، مجاز نیست. اما وقتی به یک محیط عملیاتی نگاه میکنید، بیشتر موارد در متن ساده منتقل میشوند.»
به عبارت دیگر، نگرانی واقعی یک تهدید فوری برای صاحبان خانه نیست. در عوض، این نگرانی مربوط به آسیبپذیری کل یک شبکه در حال گسترش سریع است. از آنجایی که شبکه انرژی به طور فزایندهای توزیع میشود و برق از میلیونها منبع کوچک به جای دهها منبع بزرگ جریان مییابد، سطح حمله به طور تصاعدی گسترش مییابد. هر اینورتر نشان دهنده یک نقطه فشار بالقوه در سیستمی است که هرگز برای انطباق با این سطح از پیچیدگی طراحی نشده است.
شوالتر مداخله CISA را به عنوان چیزی که او “ارتقاء اعتماد” مینامد – فرصتی برای متمایز کردن شرکت خود در یک بازار شلوغ – پذیرفته است. او میگوید که از ژوئن، EG4 با این سازمان برای رفع آسیبپذیریهای شناسایی شده همکاری کرده است و فهرست اولیه ده نگرانی را به سه مورد باقی مانده کاهش داده است که این شرکت انتظار دارد تا اکتبر حل کند. این فرآیند شامل به روز رسانی پروتکلهای انتقال میانافزار، اجرای تأیید هویت اضافی برای تماسهای پشتیبانی فنی و طراحی مجدد رویههای احراز هویت بوده است.
اما برای کسانی مانند مشتری ناشناس EG4 که با ناامیدی در مورد پاسخ شرکت صحبت کرد، این قسمت موقعیت عجیبی را برجسته میکند که پذیرندگان انرژی خورشیدی خود را در آن مییابند. آنها چیزی را خریداری کردند که تصور میکردند فناوری سازگار با آبوهوا است، اما تنها پس از آن متوجه شدند که ناآگاهانه در یک چشمانداز امنیت سایبری گره خورده شرکت کردهاند که به نظر میرسد تعداد کمی به طور کامل آن را درک میکنند.
منبع: techcrunch.com
