JAV kibernetinio saugumo bendrovės ekspertai aptiko dešimtis galimų pažeidžiamumų fotovoltinėse sistemose visame pasaulyje. Ekspertai įspėja, kad šios spragos gali turėti įtakos elektros tinklų stabilumui ir duomenų saugumui.
JAV kibernetinio saugumo bendrovė „Forescout Vedere Labs“ teigia atskleidusi rimtą sisteminę saugumo riziką pasaulinėje fotoelektros infrastruktūroje. Teigiama, kad bendrovės tyrėjai nustatė 46 naujus saulės energijos sistemų pažeidžiamumus, kurie gali kelti pavojų tinklo stabilumui ir leisti įsilaužėliams perimti inverterių kontrolę.
Tyrimų ataskaitoje „SUN:DOWN – Destabilizacija elektros energijos tinklo per orkestruotą saulės energijos sistemų išnaudojimą“ autoriai aprašo, kad jie nustatė pažeidžiamumą trijuose iš dešimties pasaulyje pirmaujančių saulės energijos inverterių gamintojų. Paveikti šie tiekėjai: „Sungrow“, „Growatt“ ir SMA. Be to, „Vedere Labs“ nustatė, kad 80 proc. per pastaruosius trejus metus atskleistų saulės energijos sistemų pažeidžiamumų galima priskirti prie „didelės rizikos“ arba „kritinių“. Išvados atskleidžia „rimtus sisteminius saulės energijos ekosistemos pažeidžiamumus, kurie gali turėti įtakos elektros tinklų stabilumui, komunalinių paslaugų teikėjų veiklai ir vartotojų duomenų privatumui“, teigiama bendrovės pranešime.
Saulės energijos inverteriai: 80 proc. pažeidžiamumų yra „didelės rizikos“ arba „kritiniai“
„Bendras saulės fotovoltinių sistemų poveikis tinklo patikimumui yra per didelis, kad jį ignoruotume – ligoninės gali netekti prieigos prie svarbios įrangos, šeimos gali likti be šildymo žiemą ar oro kondicionavimo per karščius, o įmonės gali nutraukti savo veiklą“, – perspėja ‚Forescout‘ generalinis direktorius Barry Mainzas. Pasak B. Mainzo, piktavaliai vis dažniau taikosi į ypatingos svarbos infrastruktūras. Todėl dar svarbiau rimtai atsižvelgti į saugumo problemas ir laiku tinkamai apsaugoti inverterių sistemas.
Kai kurios aptiktos spragos leidžia įsilaužėliams manipuliuoti inverterių nustatymais ir kelia pavojų naudotojų privatumui. Iš 93 iki šiol aptiktų pažeidžiamumų 80 proc. ekspertai klasifikuoja kaip rizikingus arba kritinius, o 30 proc. pažeidžiamumų suteikiamas aukščiausias galimas CVSS įvertinimas nuo 9,8 iki 10. Toks įvertinimas reiškia, kad užpuolikas potencialiai gali visiškai perimti paveiktos sistemos kontrolę. Saugumo spragų rimtumui įvertinti naudojamas tarptautinis standartas CVSS (Common Vulnerability Scoring System).
Bendrovė aiškina, kad įsilaužėliai galėtų įvairiais būdais pasinaudoti pažeidžiamumais ir perimti fotovoltinių įrenginių inverterių sistemų kontrolę. Pavyzdžiui, „Growatt“ inverteriai yra jautrūs debesijos perėmimui, leidžiančiam neleistinai prisijungti prie naudotojo išteklių, saulės energijos sistemų ir įrenginių ir juos valdyti. Sungrow inverterius galima užgrobti pasiklausant ryšio raktų serijinių numerių per įvairias nesaugias tiesiogines objektų nuorodas (IDOR), naudojant įrenginyje rastus kietai užkoduotus įgaliojimus ir skelbiant pranešimus, kurie veda prie nuotolinio kodo vykdymo ir visiško inverterio perėmimo.
Nuo to laiko gamintojai pašalino saugumo spragas
Pasinaudodami šiomis pažeidžiamomis vietomis kibernetiniai nusikaltėliai galėjo manipuliuoti elektros energijos gamyba dideliu mastu ir sukelti koordinuotas atakas su apkrovos pokyčiais, kad destabilizuotų elektros energijos tinklą. Blogiausiu atveju dėl to galėtų būti imtasi avarinių elektros energijos priemonių, sustabdytas elektros energijos tiekimas ar net nutrauktas elektros energijos tiekimas, perspėja ekspertai.
„Saulės energijos sistemos vis dažniau tampa svarbia elektros tinklų dalimi visame pasaulyje, tačiau nuolatiniai pažeidžiamumai kelia grėsmę ir tinklo stabilumui, ir nacionaliniam saugumui“, – sakė ‚Forescout Research‘ tyrimų vadovas Danielis dos Santosas. „Siekdami sumažinti šią riziką, komercinio turto savininkai, įsigydami saulės energijos įrenginius, turėtų taikyti griežtus saugumo reikalavimus, reguliariai atlikti rizikos vertinimą, užtikrinti visišką šių įrenginių matomumą tinkle ir suskirstyti juos į dalinius tinklus, kuriuose būtų vykdoma nuolatinė stebėsena.“
Forescout kritikuoja panašius trūkumus, kuriuos šių metų pradžioje kritikavo Vokietijos federalinis informacijos saugumo biuras (BSI): BSI Vokietijos laikraščiui „Welt am Sonntag“ išreiškė susirūpinimą dėl saugumo, susijusį su planuojamu priimti įstatymu, kuriuo Vokietijoje ketinama reglamentuoti centrinį saulės energijos sistemų inverterių valdymą. Institucija įspėja, kad didelė dalis Vokietijoje naudojamų inverterių yra Kinijos gamintojų, todėl Kinijos bendrovės, o kartu ir Pekino vyriausybė, gali gauti tiesioginę prieigą prie sistemai svarbios Vokietijos elektros energijos tiekimo dalies.
Šaltinis: Chip.de
Parašyti komentarą