Egy holland kutató fedezte fel azt a módszert, amelynek révén komoly galibát lehetne okozni az elektromos hálózatokban, ha azokra napenergiát használó rendszerek is csatlakoznak. Willem Westerhof, az ITsec kiberbiztonsági kutatója a szoftveres hibákat kihasználva demonstrálta, hogy az inverterekben megbúvó sebezhetőségek milyen veszélyeket hordoznak.

Egyre komolyabb tényező a napenergia

Mivel távolról kiaknázható sérülékenységekről van szó, ezért kihasználásának előfeltétele, hogy az inverter valamilyen adathálózatra csatlakozzon, a támadó pedig hozzáférhessen ehhez a hálózathoz. Ez történhet úgy, hogy ugyanarra a LAN-ra kapcsolódik eszközével, de ha az inverter internetről is elérhető, akkor szinte a világ bármely pontjáról megkísérelhető a hozzáférés.

Westerhof nem kevés, összesen 21(!) sérülékeny pontot talált a SMA Solar Technology által gyártott inverterek szoftverében. A német vállalat jelentős szereplője a napenergiát használó iparágnak, éves szinten nagyjából 1 milliárd dollár értékben értékesít invertereket és egyéb eszközöket. Éppen ezért olyan veszélyes, hogy engedély nélkül, távolról szabályozható, hogy mekkora energiát szabadítsanak rá az eszközei az elektromos hálózatra.

És nem árt azt sem figyelembe venni, hogy a csúcsidőszakban, egy napsütéses nap közepén akár a teljes német energiatermelés felét is adhatják a napelemek. Európában egyébként összesen több mint 90 GW fotovoltaikus energiatermelő-kapacitást telepítettek mostanáig.

A feltételezett támadó, aki ezek zömét ellenőrizni, sőt irányítani is képes, komoly erőforrás-terhelési problémákat tud okozni a hálózaton. Akár országos szintű áramkimaradások is előidézhetők a sebezhetőségek révén – kongatta meg a vészharangot Westerhof.

Véletlenszerű és gyorsan kialakuló támadások

Ahhoz, hogy ilyen nagyszabású esemény bekövetkezhessen, a támadónak nem csupán az inverterek feletti ellenőrzés megszerzésére van szüksége, hanem azokat egységesen vezérelnie is kell. Megfelelően programozva energiatöbblettel áraszthatja el a hálózat egyes részeit, amivel a generátorokat leállásra készteti, megakadályozandó a túlterhelést. De a másik véglet sem jelent szerencsés helyzetet: a megújuló forrásokból származó energia teljes visszatartásával szintén áramkimaradásokat lehet összehozni.

Közel sem kezelhetők könnyen a hatalmas, gigawattos ingadozások. A holland kutató példának a 2015-ös részleges, Németország felett bekövetkezett napfogyatkozást hozta fel, ami masszív energiatermelés-visszaesést hozott magával. Mivel azonban előre megjósolható időben történt, a hirtelen eltűnő energiamennyiség kezelhető volt. De ha egy támadás révén alakul ki hasonló helyzet, akkor annak véletlenszerűsége és gyors kialakulása komoly károkat lenne képes okozni.

Westerhof a fentiek felismerésével felelős döntést hozott tavaly decemberben, miután felfedezte a hibákat. Felvette a kapcsolatot a gyártóval, de a szoftverhiányosságokról egészen napjainkig nem számolt be, hogy legyen elég idő kijavítani a azokat.

A hibák minden technikai részletre kiterjedő ismertetését most sem tette nyilvánossá, de azok leírása bárki számára megtekinthető.

Mindenki a másikra mutogat

A kormányzatok általános álláspontja szerint az energiaiparnak magának kellene kitalálnia, hogyan kezelje az ehhez hasonló eseteket. A hálózatok szabályozói szerint a gyártók felelősek azért, hogy biztonságos eszközöket hozzanak létre.

A gyártók viszont azon a véleményen vannak, hogy a felhasználók felelőssége az eszközök biztonságos környezetben való üzemeltetése. A felhasználók többségét mindez nem érdekli, mert úgy véli, hogy nem lehet mindenki kiberbiztonsági szakértő, ezért a napenergiát hasznosító termékeknek rögtön a használatbavételkor biztonságosnak kellene lenniük.

Itt pedig körbe is értünk: mindenki a másikra mutogat, felelős nincsen. Szerencsére a cikkünk tárgyául szolgáló konkrét esetben az SMA elkészítette a szükséges patch-eket, és ezek telepítése éppen folyamatban van a szóban forgó eszközökön.

Ennél azonban proaktívabb hozzáállásra lenne szükség minden fél részéről, ha meg akarjuk óvni Európát az energiaingadozás veszélyétől.