كيف أصبح السطح الشمسي مسألة الأمن القومي

يصف جيمس شوالتر سيناريو كابوس غير معقول تمامًا إن لم يكن تمامًا. شخص ما يقود إلى منزلك ، ويصدع كلمة مرور Wi-Fi ، ثم يبدأ في العبث مع العاكس الشمسي المثبت بجانب المرآب الخاص بك. يقوم هذا المربع الرمادي المتواضع بتحويل التيار المباشر من لوحات السطح إلى التيار المتناوب الذي يعمل على تشغيل منزلك.

يقول شوالتر: “يجب أن يكون لديك مطارد شمسي” لهذا السيناريو.

الرئيس التنفيذي EG4 الإلكترونيات، لا تعتبر شركة مقرها في Sulfur Springs ، تكساس ، تسلسل الأحداث هذا محتملًا بشكل خاص. ومع ذلك ، لهذا السبب وجدت شركته الأسبوع الماضي نفسها في دائرة الضوء عندما وكالة الأمن السيبرانية الأمريكية CISA نشر استشاري تفصيل نقاط الضعف الأمنية في محولات الطاقة الشمسية EG4. وأشارت CISA إلى أن العيوب يمكن أن تسمح للمهاجم بإمكانية الوصول إلى نفس الشبكة مثل العاكس المتأثر ورقمه التسلسلي لاعتراض البيانات أو تثبيت البرامج الثابتة الضارة أو الاستيلاء على التحكم في النظام بأكمله.

بالنسبة إلى ما يقرب من 55000 عميل يمتلكون نموذج العاكس المتأثر في EG4 ، ربما شعرت الحلقة بأنها مقدمة مقلقة لجهاز يفهمونه قليلاً. ما يتعلمونه هو أن المحولات الشمسية الحديثة لم تعد محولات قوة بسيطة. إنها الآن بمثابة العمود الفقري لتركيبات الطاقة المنزلية ، ومراقبة الأداء ، والتواصل مع شركات المرافق ، وعندما تكون هناك قوة زائدة ، وإطعامها مرة أخرى في الشبكة.

لقد حدث الكثير من هذا دون أن يلاحظ الناس. يلاحظ جاستن باسكالي ، المستشار الرئيسي في Dragos ، وهي شركة الأمن السيبراني المتخصصة في الأنظمة الصناعية: “لا أحد يعرف ما كان الجحيم عاكسًا للطاقة الشمسية قبل خمس سنوات”. “نحن الآن نتحدث عن ذلك على المستوى الوطني والدولي.”

أوجه القصور في الأمن وشكاوى العملاء

تبرز بعض الأرقام الدرجة التي أصبحت بها المنازل الفردية في الولايات المتحدة محطات كهرباء مصغرة. وفقًا لإدارة معلومات الطاقة الأمريكية ، نمت المنشآت الشمسية الصغيرة-السكنية بشكل أساسي- أكثر من خمسة أضعاف بين عامي 2014 و 2022. ما كان ذات يوم مقاطعة المدافعين عن المناخ والتبنيين الأوائل أصبحت أكثر سائدة بسبب انخفاض التكاليف والحوافز الحكومية ووعي متزايد بتغير المناخ.

يضيف كل تثبيت شمسي عقدة أخرى إلى شبكة توسيع من الأجهزة المترابطة ، كل واحد يساهم في استقلال الطاقة ولكنه أيضًا يصبح نقطة دخول محتملة لشخص ذي نية خبيثة.

عند الضغط على معايير أمن شركته ، يعترف شوالتر بأوجه القصور ، لكنه ينحرف أيضًا. يقول: “هذه ليست مشكلة EG4”. “هذه مشكلة على مستوى الصناعة.” خلال مكالمة تكبير وبعد ذلك ، في صندوق الوارد لهذا المحرر ، ينتج أ تقرير من 14 صفحة فهرسة 88 الإفصاح عن قابلية طاقة الطاقة الشمسية عبر التطبيقات التجارية والسكنية منذ عام 2019.

ليس كل عملائه – بعضهم أخذ إلى رديت للشكوى – تتعاطف ، لا سيما بالنظر إلى أن CISA الاستشارية كشفت عن عيوب التصميم الأساسية: التواصل بين تطبيقات المراقبة والمزولات التي حدثت في نص عادي غير مشفر ، وتحديثات البرامج الثابتة التي تفتقر إلى عمليات الفحص النزاهة ، وإجراءات المصادقة البدائية.

يقول أحد العملاء للشركة ، الذي طلب التحدث مجهول الهوية: “كانت هذه هفوات أمنية أساسية”. “إضافة إهانة للإصابة” ، يواصل هذا الشخص ، “EG4 لم يكلف نفسه عناء إخطاري أو تقديم التخفيفات المقترحة”.

عندما سئل عن سبب عدم تنبيه EG4 للعملاء على الفور عندما تواصل CISA إلى الشركة ، يطلق عليه Showalter لحظة “حية وتعلم”.

يقول شوتالتر: “نظرًا لأننا قريبون جدًا (من معالجة مخاوف CISA) وهي علاقة إيجابية مع CISA ، فقد كنا نصل إلى زر” تم القيام به “، ثم ننصح الناس ، لذلك نحن لسنا في منتصف الكعكة التي يتم خبزها”.

وصل TechCrunch إلى CISA في وقت سابق من هذا الأسبوع لمزيد من المعلومات ؛ الوكالة لم تستجب. في استشاريها حول EG4 ، تنص CISA على أنه “لم يتم الإبلاغ عن أي استغلال عام معروف يستهدف على وجه التحديد هذه النقاط الضعيفة إلى CISA في هذا الوقت.”

تثير الروابط مع الصين المخاوف الأمنية

على الرغم من عدم وجود علاقة ، فإن توقيت أزمة العلاقات العامة في EG4 يتزامن مع قلق أوسع بشأن أمان سلسلة التوريد لمعدات الطاقة المتجددة.

في وقت سابق من هذا العام ، قيل إن مسؤولي الطاقة الأمريكيين بدأوا في إعادة تقييم المخاطر التي تشكلها الأجهزة التي صنعت في الصين بعد اكتشاف معدات اتصال غير مفسرة داخل بعض العزف والبطاريات. وفقا لتحقيق رويترز، تم العثور على أجهزة الراديو الخلوية غير الموثقة وأجهزة الاتصال الأخرى في المعدات من العديد من الموردين الصينيين – المكونات التي لم تظهر في قوائم الأجهزة الرسمية.

هذا الاكتشاف المبلغ عنه يحمل وزنًا خاصًا نظرًا لهيمنة الصين في تصنيع الطاقة الشمسية. لاحظت قصة رويترز نفسها أن Huawei هي أكبر مورد في العالم للمزولات ، حيث تمثل 29 ٪ من الشحنات على مستوى العالم في عام 2022 ، تليها أقرانهم الصينيين Sungrow و Ginlong Solis. بعض 200 جيجا وات من طاقة الطاقة الشمسية الأوروبية يرتبط بالمزولات المصنوعة في الصين ، وهو ما يعادل أكثر من 200 محطة للطاقة النووية.

الآثار الجيوسياسية لم تفلت من الإشعار. ليتوانيا العام الماضي مرت قانون منع الوصول الصيني عن بُعد إلى منشآت الطاقة الشمسية والرياح والبطاريات التي تزيد عن 100 كيلووات ، مما يقيد بشكل فعال استخدام المحولات الصينية. يقول شوالتر إن شركته تستجيب لمخاوف العملاء من خلال البدء بالمثل في الابتعاد عن الموردين الصينيين وتجاه المكونات التي تصنعها الشركات في أماكن أخرى ، بما في ذلك ألمانيا.

لكن نقاط الضعف CISA الموصوفة في أنظمة EG4 تثير أسئلة تتجاوز ممارسات أي شركة واحدة أو حيث تقوم بمصادر مكوناتها. وكالة المعايير الأمريكية NIST يحذر “إذا كنت تتحكم عن بعد في عدد كبير بما يكفي من المحولات الشمسية المنزلية ، وقمت بشيء شرير في وقت واحد ، فقد يكون له آثار كارثية على الشبكة لفترة طويلة من الزمن.”

والخبر السار (إذا كان هناك أي) ، هو أنه على الرغم من أنه ممكن من الناحية النظرية ، فإن هذا السيناريو يواجه الكثير من القيود العملية.

يلاحظ Pascale ، الذي يعمل مع المنشآت الشمسية على نطاق المنفعة ، أن المحولات السكنية تخدم في المقام الأول وظيفتين: تحويل الطاقة من المباشر إلى التيار المتناوب ، وتسهيل الاتصال مرة أخرى إلى الشبكة. يتطلب الهجوم الجماعي التنازل عن أعداد هائلة من المنازل الفردية في وقت واحد. (مثل هذه الهجمات ليست مستحيلة ، ولكن من المرجح أن تتضمن استهداف الشركات المصنعة نفسها ، والتي يتمتع بعضها بالوصول عن بُعد إلى محولات الطاقة الشمسية لعملائها ، مثل يتضح من الباحثين الأمن العام الماضي.)

الإطار التنظيمي الذي يحكم المنشآت الكبيرة لا يمتد في الوقت الحالي إلى الأنظمة السكنية. معايير حماية البنية التحتية الحرجة لشركة أمريكا الشمالية للموثوقية الكهربائية تطبيق حاليا فقط للمرافق الكبيرة التي تنتج 75 ميجاوات أو أكثر ، مثل المزارع الشمسية.

نظرًا لأن المنشآت السكنية تقع أقل بكثير من هذه العتبات ، فإنها تعمل في منطقة رمادية تنظيمية حيث تظل معايير الأمن السيبراني اقتراحات بدلاً من المتطلبات.

لكن النتيجة النهائية هي أن أمان الآلاف من المنشآت الصغيرة يعتمد إلى حد كبير على تقدير الشركات المصنعة الفردية التي تعمل في فراغ تنظيمي.

فيما يتعلق بمسألة نقل البيانات غير المشفرة ، على سبيل المثال ، وهو أحد الأسباب التي تلقاها EG4 التي تلقت صفعة على يد CISA ، يلاحظ Pascale أنه في البيئات التشغيلية على نطاق المنفعة ، يكون نقل النص العادي شائعًا ومشجعًا أحيانًا لأغراض مراقبة الشبكة.

“عندما تنظر إلى التشفير في بيئة المؤسسة ، لا يُسمح بذلك” ، يوضح. “ولكن عندما تنظر إلى بيئة تشغيلية ، يتم نقل معظم الأشياء في نص عادي.”

بعبارة أخرى ، فإن القلق الحقيقي ليس تهديدًا فوريًا لأصحاب المنازل الأفراد. بدلاً من ذلك ، يرتبط بالضعف الكلي لشبكة متوسعة بسرعة. عندما يتم توزيع شبكة الطاقة بشكل متزايد ، مع تدفق الطاقة من الملايين من المصادر الصغيرة بدلاً من العشرات من المصادر الكبيرة ، يتوسع سطح الهجوم بشكل كبير. يمثل كل العاكس نقطة ضغط محتملة في نظام لم يتم تصميمه مطلقًا لاستيعاب هذا المستوى من التعقيد.

تبنى شوالتر تدخل CISA باعتباره ما يسميه “ترقية الثقة” – فرصة للتمييز بين شركته في سوق مزدحم. يقول إنه منذ يونيو ، عملت EG4 مع الوكالة لمعالجة نقاط الضعف المحددة ، مما يقلل من قائمة أولية من عشرة مخاوف إلى ثلاثة عناصر متبقية تتوقع الشركة حلها بحلول شهر أكتوبر. تضمنت العملية تحديث بروتوكولات نقل البرامج الثابتة ، وتنفيذ التحقق من الهوية الإضافية لمكالمات الدعم الفني ، وإعادة تصميم المصادقة.

ولكن بالنسبة لأولئك مثل عميل EG4 المجهول الذين تحدثوا بإحباطهم بشأن استجابة الشركة ، تسلط الحلقة الضوء على الموقف الغريب الذي يجدهم المتبنون الشمانيون أنفسهم. لقد اشتروا ما فهموه على أنه تقنية صديقة للمناخ ، فقط لاكتشاف أنهم سيصبحون مشاركين غير مقصود في منظر لما يبرزه الأمن السيبراني المعقدة.