光伏逆变器通常被称为太阳能系统的“大脑”,负责将光伏组件发电转化为可用电力。在商业和户用屋顶太阳能装置中,逆变器直接并入互联网,因此成为太阳能系统网络攻击的暴露点,可能导致严重后果。
事实证明,通过获取管理员权限,黑客可以远程控制制造商安装的太阳能系统。有了这种权限,黑客就可以禁用或损坏逆变器,锁定设备以索取赎金,或访问客户网络的敏感部分。对于企业来说,这可能包括客户管理数据库和财务系统。黑客还可能对能耗数据感兴趣,这些数据可以揭示详细的家庭生活习惯或企业业绩。
更令人担忧的是,黑客可能会瞄准管理这些太阳能系统的中央服务器。数以千计,有时甚至数以百万计的系统可以通过一个单一的控制点进行管理。这些服务器可能会成为黑客的攻击目标,从而导致整个电网瘫痪。
电网的设计旨在不断保持电力供需平衡。如果供需缺口超过临界阈值,电网的部分区域就会进入紧急停机状态。专家们目前的共识是,户用光伏系统产生的电力早已超过了最大临界阈值。随着全球数百万太阳能设备的安装,这些影响正在推动对太阳能网络安全的更多关注。
有针对性的攻击已经开始
2024年5月,欧洲太阳能制造委员会(ESMC)呼吁加大力度、巩固逆变器的网络安全。
同月,以揭露网络漏洞以便修复为目的的“道德黑客”Vangelis Stykas宣布,
仅凭一部手机和一台笔记本电脑,他就完全远程访问了全球六家逆变器制造商的太阳能系统。
这使他能够访问超过整个德国电网三倍的总电量。虽然他没有攻击电网运行,但他获得了大量电力的访问权限,这些电力本可以被用来造成大范围停电。
8月份,
又有两家太阳能公司被知名网络安全公司Bitdefender攻破,使其能够访问195GW的太阳能电力——占全球太阳能发电量的20%。荷兰道德黑客组织DIVD向一家大型光伏逆变器制造商披露了六个新的网络安全漏洞,这些漏洞会导致150多个国家的400万套系统暴露于风险之中。
但并非所有针对太阳能系统的黑客攻击都是善意的。2024年2月初,一个俄罗斯网络犯罪团伙成功入侵了立陶宛电力公司Ignitis。黑客提供了关闭用户账户的视频证据并索要赎金以停止攻击。他们通过针对太阳能监控软件和访问包括医院和军事院校在内的22个设施的数据来实现这一目标。
另一起成为头条新闻的恶意网络攻击发生在日本。
黑客劫持了800台日本太阳能远程监控设备,利用这些设备盗窃银行账户。与大多数漏洞不同的是,这个漏洞是无法修复的,因为没有远程更新机制,漏洞永远存在。
DERSec是一家网络安全公司。该公司于2024年10月发布了一份关于对54起太阳能网络攻击和消费者系统漏洞的审查报告。报告发现,网络攻击的上升趋势很可能会持续下去。攻击者试图渗透和破坏世界各地的关键基础设施。这引起了行业机构和政府的警觉,
证明通过太阳能系统引发的网络安全风险是真实存在的。
行业机构和政府的回应
鉴于这些事件,欧洲的领军太阳能协会SolarPower Europe最近表示,欧盟必须立即行动起来,对光伏逆变器制造商实施高标准的网络安全要求以保护能源安全。这也得到了ESMC的响应。
在美国,联邦调查局(FBI)最近警告称,黑客会攻击关键基础设施,特别是脆弱的可再生能源供电。FBI还指出,对可再生能源的依赖日益增长,而网络安全协议和法规却并不充分。
现在,各国政府都处于被动地位,需要从零开始紧急解决这一问题。在美国,白宫国家网络总监办公室最近发布了一份路线图,概述了随着清洁能源转型加速而需要加强的网络安全关键技术。
线路图确定了需要特别关注的具体产品类别,如光伏逆变器和电动汽车充电器。
荷兰RDI政府机构和研究公司SECURA、澳大利亚网络安全合作研究中心在其发布的Power Out报告中也指出了这一风险。
在部分领域,我们已经看到针对分布式能源(DER)的首批法规开始成形。
例如,英国的智能充电站法规要求在电动汽车充电器中安装内置硬件延迟计时器用于防止大规模停电,并在网络攻击开始时,为电网留出调整时间。然而,虽然这可能会缓解最坏的情况,但并不能从根本上防止DER被黑客攻击。
欧盟委员会正试图通过更有力的监管来解决这一问题。但对某些国家来说,可能为时已晚。立陶宛就是一个典型的例子,它是第一个自行采取行动的国家。
在今年2月立陶宛电力公司遭受网络攻击后不久,当地议会做出决定,禁止被归类为威胁立陶宛国家安全的国家远程访问太阳能、风能和储能设备。
这意味着,从2025年5月1日起,被立陶宛法律视为来自敌对国家的光伏逆变器将被禁止使用,现有设施必须在次年同一时间断开不合规的逆变器。
如何解决这个问题?
在缺乏有力监管的情况下,为了确保太阳能行业未来的稳定和安全,光伏逆变器制造商必须认识到他们正在建设关键基础设施,并将其视为关键基础设施,优先投资网络安全技术,而不是优先降本和提高利润率。
此外,投资太阳能行业的企业必须意识到网络风险,并评估不同供应商的网络安全措施以确保其系统安全。
例如,向安装商提出下述问题:谁可以远程访问我的太阳能系统?我的数据存储在哪里,如何保护?这个品牌在网络安全方面是否有良好的记录?否则,你可能会发现自己的系统无法运行,或者拥有一个在投资回报期之前就需要更换的不合规太阳能系统。
随着我们竞相部署清洁能源技术,从一开始就嵌入网络安全至关重要。三十年前,互联网的快速部署带来了重大的网络安全隐患,我们今天仍在为此付出代价。为了避免重蹈覆辙,教训是显而易见的:预防胜于治疗。
