Аккумуляторная батарея Challenger EVG12-110
Возобновляемые источники энергии, в том числе солнечные энергетические системы, быстро становятся важнейшими элементами энергосетей по всему миру, особенно в США и Европе. Однако о кибербезопасности этих систем часто вспоминают в последнюю очередь, что создаёт растущую угрозу для безопасности, стабильности и доступности энергосетей.
Новое исследование, проведённое компанией Forescout, поставщиком решений для сетевой безопасности, выявило небезопасную экосистему, которая может представлять угрозу для энергетики и национальной безопасности. Хотя каждая бытовая солнечная система вырабатывает ограниченное количество энергии, их совокупная мощность достигает десятков гигаватт, что делает их совокупное влияние на кибербезопасность и надёжность энергосетей слишком значительным, чтобы его игнорировать.
В полном отчёте компания Forescout рассматривает известные проблемы и представляет новые уязвимости, обнаруженные у трёх ведущих производителей солнечных электростанций: Sungrow, Growatt и SMA. Компания Forescout также обсуждает реалистичные сценарии атак на электросети, которые могут привести к чрезвычайным ситуациям или отключениям электроэнергии, и предоставляет рекомендации по снижению рисков для владельцев интеллектуальных инверторов, энергетических компаний, производителей устройств и регулирующих органов.
Краткое изложение выводов
- Компания Forescout составила каталог из 93 предыдущих уязвимостей в сфере солнечной энергетики и проанализировала тенденции:
- За последние три года в среднем ежегодно обнаруживалось более 10 новых уязвимостей
- 80% из них имеют высокую или критическую степень тяжести
- 32% имеют оценку CVSS 9,8 или 10, что обычно означает, что злоумышленник может полностью контролировать уязвимую систему
- Больше всего уязвимостей выявлено в солнечных мониторах (38%) и облачных серверных частях (25%). Относительно небольшое количество уязвимостей (15%) напрямую затрагивает солнечные инверторы
- В связи с растущей обеспокоенностью по поводу доминирования компонентов солнечной энергетики иностранного производства компания Forescout проанализировала страны их происхождения:
- 53% производителей солнечных инверторов базируются в Китае
- 58% производителей систем хранения данных и 20% производителей систем мониторинга находятся в Китае
- На втором и третьем местах по распространённости стран-производителей компонентов находятся Индия и США
- Новые уязвимости:
- Компания Forescout проанализировала шесть из 10 крупнейших мировых производителей солнечных энергетических систем: Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe и SMA
- Forescout обнаружил 46 новых уязвимостей, затрагивающих различные компоненты трёх производителей: Sungrow, Growatt и SMA.
- Эти уязвимости позволяют использовать сценарии, влияющие на стабильность сети и конфиденциальность пользователей
- Некоторые уязвимости также позволяют злоумышленникам захватывать другие интеллектуальные устройства в домах пользователей
Влияние на сетевую безопасность
Новые уязвимости, которые были устранены пострадавшими поставщиками, могут позволить злоумышленникам получить полный контроль над целым парком инверторов солнечной энергии по нескольким сценариям, как показано в отчёте:
Получив контроль над этими инверторами, злоумышленники могут изменять настройки их выходной мощности или выключать и включать их скоординированно, как ботнет. Совокупный эффект от захваченных инверторов сильно влияет на выработку электроэнергии в сети. Последствия этого эффекта зависят от резервных мощностей сети и от того, насколько быстро они могут быть задействованы.
В качестве примера Forescout приводит европейскую энергосистему. Предыдущие исследования показали, что для снижения частоты до 49 Гц, при которой требуется отключение нагрузки, потребуется контроль над 4,5 ГВт. Поскольку текущая мощность солнечной энергетики в Европе составляет около 270 ГВт, злоумышленникам потребуется контролировать менее 2% инверторов на рынке, где доминируют Huawei, Sungrow и SMA.
Рекомендации
- Относитесь к инверторам для фотоэлектрических систем в жилых, коммерческих и промышленных зданиях как к критически важной инфраструктуре:
- Следуйте рекомендациям NIST по обеспечению кибербезопасности интеллектуальных инверторов в жилых и коммерческих помещениях
- Следуйте рекомендациям DOE для промышленных установок
- Владельцам коммерческих и промышленных объектов следует:
- Включение требований безопасности в процесс закупок
- Проведите оценку рисков при настройке устройств
- Обеспечение видимости сети в системах солнечной энергетики
- Сегментируйте устройства и контролируйте их работу в их собственных подсетях
- Производителям устройств следует:
- Внедрение безопасных практик жизненного цикла программного обеспечения
- Проводите регулярное тестирование на проникновение
- Внедряйте комплексные стратегии обеспечения безопасности с использованием брандмауэров веб-приложений
- Используйте сторонние проверки каналов связи на основе стандартов, таких как ETSI EN 303 645, Директива по радиооборудованию (RED) и Закон о киберустойчивости (CRA)