פגמים מדאיגים במערכת האנרגיה הסולארית עלולים לאפשר להאקרים לשבש את רשתות החשמל
התלות הגוברת באנרגיה סולארית עשויה ליצור גבול חדש של סיכוני אבטחת סייבר. חקירה שנעשתה לאחרונה על ידי חברת אבטחת הסייבר Forescout חשפה גל מדאיג של נקודות תורפה המשפיעות על מוצרי מערכת אנרגיה סולארית של היצרניות הגדולות Sungrow, Growatt ו-SMA. הממצאים מעלים חששות רציניים לגבי חוסנה של תשתית אנרגיה מודרנית נגד התקפות סייבר - והפוטנציאל להפרעות בקנה מידה רחב.
תוכן העניינים
עשרות נקודות תורפה חושפות תשתית סולארית
הצוות של Forescout חשף 46 נקודות תורפה חדשות, שהוסיפו ליותר מ-90 פגמים מקוטלגים בעבר במערכות אנרגיה סולארית במהלך השנים האחרונות. גל התגליות האחרון כיוון למוצרים מ-10 ספקי המערכות הסולאריות המובילות בעולם, כאשר Sungrow, Growatt ו-SMA בלטו בשל חומרת ומגוון הבעיות שזוהו.
בליבתן של מערכות סולאריות אלו נמצאים ממירים - מכשירים הממירים את החשמל DC שנוצר על ידי פאנלים סולאריים לכוח AC שמיש. ממירים אלו כוללים לרוב רכיבים המחוברים לאינטרנט לניטור, בקרה וגישה מרחוק באמצעות פלטפורמות ענן ואפליקציות לנייד. לרוע המזל, היכולות הדיגיטליות הללו הופכות תשתית סולארית למשטח תקיפה אטרקטיבי עבור פושעי סייבר.
מה החוקרים מצאו
- SMA : פגיעות יחידה אך רצינית מאפשרת לתוקפים להעלות קובץ זדוני לפלטפורמת הענן, מה שעלול להוביל לביצוע קוד שרירותי בשרת של SMA - סיכון קריטי אם לא יתוקן.
- Growatt : חוקרים זיהו 30 נקודות תורפה מדהימות. פגמים אלו כוללים סקריפטים חוצי אתרים (XSS), יכולות השתלטות מרחוק, בעיות חשיפת מידע ואפילו מסלולים לתוקפים לגרום נזק פיזי לתשתית סולארית.
- Sungrow : יותר מתריסר פגיעויות נחשפו, כגון הפניות ישירות לאובייקטים לא מאובטחות (IDOR), פגיעויות של מניעת שירות (DoS) ואיומי ביצוע קוד מרחוק. אלה עלולים להוביל לגישה לא מורשית, להפרעה בשירות או להתפשרות מוחלטת של מכשירים מושפעים.
למה זה חשוב: איום על רשת החשמל
אולי המדאיגה ביותר היא האפשרות של תוקפים להשיג שליטה על ציי ממירים המחוברים לאינטרנט. לדברי Forescout, חטיפת מספר רב של מכשירים אלה עלולה לאפשר לפושעי סייבר לערער את היציבות ברשתות החשמל - או על ידי מניפולציה של קלט אנרגיה או גרימת שיבושים מסונכרנים.
תארו לעצמכם מאות או אלפי ממירים שנפגעו לפתע נכבים או מוגדרים בצורה שגויה. ההשפעה עלולה לגלוש על פני רשתות מקומיות או אפילו לאומיות, לגרום להפסקות, ביקוש גואה למערכות גיבוי ולגרום להפסדים כספיים עבור שירותים ומפעילים.
מעבר לשיבוש ברשת, ניתן למנף מערכות סולאריות שנפגעו עבור:
- גניבת מידע אישי - כולל פרטי לקוחות המקושרים למערכות המחוברות לענן.
- התקפות רשת לרוחב - כאשר התוקפים עוברים מממירים שנפגעו להתקנים רגישים אחרים באותה רשת.
- מניפולציה בשוק האנרגיה - על ידי שיבוש נתוני תפוקה או ביצועים.
- התקפות כופר - החזקת תשתית סולארית כבת ערובה עד תשלום כופר.
תיקון התקדמות ותגובת הספק
הספקים המושפעים קיבלו הודעה. גם SMA וגם Sungrow הגיבו במהירות, תיקנו את כל הפגיעויות שזוהו ופרסמו עצות ללקוחות. הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הדגישה את הדחיפות בכך שפרסמה ייעוץ משלה, תוך שימת דגש על השימוש הנרחב במוצרים אלה בכל מגזר האנרגיה העולמי.
עם זאת, גרוואט התייחס רק לכמה מהבעיות שדווחו. נכון לסוף פברואר 2025, רוב הפגיעות במוצרים שלה נותרו ללא תיקון - סטטוס מדאיג עבור אחד ממותגי הממירים הסולאריים המובילים.
כיצד משתמשים יכולים להישאר מוגנים
אבטחת מערכות אנרגיה סולארית דורשת את אותה הקפדה על אבטחת סייבר כמו כל תשתית מחוברת אחרת. Forescout ו-NIST ממליצים על השיטות המומלצות הבאות:
- שנה סיסמאות ברירת מחדל והטמיע אימות חזק.
Forescout גם מייעץ למפעילי מערכות סולאריות מסחריות לכלול דרישות אבטחה בחוזי רכש ולבצע הערכות סיכונים שוטפות.
ככל שהטכנולוגיה הסולארית משתלבת יותר ויותר ברשתות החשמל, האבטחה שלה הופכת קריטית לא פחות מהיעילות שלה. הפגיעות שחשפה פורסקאוט הן תזכורת ברורה לכך שאנרגיה נקייה אינה פירושה אוטומטית אנרגיה בטוחה. ללא אמצעי אבטחת סייבר פרואקטיביים, אותן מערכות שנועדו להניע קיימות עלולות להפוך לחוליה חלשה בתשתית הקריטית שלנו.
מפעילים, ספקים ומשתמשים חייבים לפעול עכשיו - לפני שתוקפי סייבר יקבלו את ההזדמנות להפעיל את המתג.