Один взлом — и миллионы без света: что грозит Европе?

Проблема уязвимости «умных» технологий становится всё более острой. Голландский хакер Витсе Бунстра недавно продемонстрировал серьёзность таких угроз, обнаружив возможность одним нажатием кнопки отключить 4 миллиона солнечных энергетических систем в 150 странах. Открытие подтвердило закон Хюппонена: «Если что-то умное, оно уязвимо».

Масштаб угрозы впечатляет. Солнечные панели в Нидерландах могут производить энергию, сравнимую с мощностью сорока атомных электростанций типа Борсселе. Однако многие производители не обеспечивают достаточную защиту от хакеров.

Бунстра, исследователь безопасности в Судебной ИТ-организации (JIO), обнаружил серьёзную брешь в системах компании Enphase. В последние месяцы его внимание сосредоточилось на устройствах, соединяющих солнечные панели с электросетью.

Хотя принцип работы солнечных панелей прост — они производят постоянный ток, который затем преобразуется в переменный для подачи в сеть, — но для этого используется инвертор. В системах Enphase каждая панель оснащена собственным микроинвертором.

Клиенты Enphase могут настраивать свои системы и управлять ими через личный аккаунт, с возможностью делегировать управление другим лицам. Бунстра выявил критическую уязвимость: ошибка в программном обеспечении позволяла получить права администратора над чужими аккаунтами. Проверяя свою теорию, он создал два административных аккаунта и обнаружил, что первый может управлять вторым без разрешения. Для окончательной проверки создал ещё двадцать аккаунтов и успешно управлял ими всеми через первый.

Совместно с коллегой Хидде Смитом Бунстра изучил прошивку устройств Enphase и нашёл шесть уязвимостей, которые могли бы быть использованы для заражения миллионов солнечных систем вредоносным ПО.

Эта ситуация сравнима с концепцией «Кольца Всевластия» из «Властелина колец» Толкина: как одно кольцо управляло остальными, так и выявленная уязвимость позволяет через один аккаунт контролировать миллионы систем, что угрожает глобальной энергетической безопасности.

Уязвимость Нидерландов к диверсиям на электросеть растёт. Взаимосвязанность систем солнечной энергии, зарядных станций и аккумуляторов, управляемых централизованно, делает страну более подверженной таким угрозам. Эксперты предупреждают, что ответственность за стабильность больше не может лежать исключительно на сетевых операторах.

Солнечные панели в Нидерландах генерируют около двадцати гигаватт энергии, что сопоставимо с мощностью сорока атомных электростанций. Внезапная потеря даже нескольких гигаватт может серьёзно дестабилизировать электросеть.

Представители Государственной службы цифровой инфраструктуры (RDI) подтверждают, что подобный сценарий угрожает стабильности не только в Нидерландах, но и в Европе, учитывая синхронизацию электросетей.

Исследователи компании Secura описали сценарий, при котором злоумышленник может включать и выключать солнечные панели каждые несколько секунд. Такой подход способен дестабилизировать сеть, если применить его к панелям, производящим 3 гигаватта. Получить контроль над таким объёмом энергии непросто, но эксперты считают это реальным.

Другой возможный сценарий атаки связан с изменением параметров инверторов. Современные электросети работают в диапазоне от 240 до 253 вольт. При достижении верхнего предела инверторы автоматически отключаются. Злоумышленник может изменить эти настройки, что приведёт к перегрузке энергосети.

Дополнительная угроза исходит от того, что значительная часть этих систем контролируется китайскими компаниями. Huawei и Sungrow, крупнейшие поставщики солнечных систем, ежедневно поставляют в сеть Нидерландов более 3 гигаватт каждая. С каждым годом в стране добавляется около 4 гигаватт солнечной мощности, что усиливает зависимость от иностранных компонентов.

Эксперты предупреждают о растущей зависимости от китайских компаний и возможных политических рисках. В случае конфликта Пекин может потребовать от производителей внести изменения в системы, что позволит манипулировать работой солнечных панелей в других странах.

Государственные акторы могли бы отключить электричество в Нидерландах через программное обеспечение инверторов. Такие действия, хотя и будут восприняты как акт враждебности, позволят стране, организовавшей их, отрицать свою причастность. В условиях нарастающей напряжённости и участившихся кибератак эксперты считают такой сценарий вполне реальным.

Представители TenneT, оператора высоковольтной сети, подчёркивают, что основная ответственность за предотвращение таких атак лежит на поставщиках энергии, таких как Essent. Однако TenneT несёт общую ответственность за устранение крупных инцидентов в Нидерландах.

Эксперты заявляют, что на уровне всей Европы есть возможность компенсировать потерю до 3 гигаватт за счёт быстрореагирующих мощностей, таких как батареи, гидроэлектростанции и газовые электростанции. Но отключение более 3 гигаватт солнечных панелей может иметь непредсказуемые последствия.

Устранить риск в источнике практически невозможно. Существующие механизмы позволяют лишь реагировать на возникающие угрозы, что создаёт опасный сценарий для общества.

Специалисты призывают к ужесточению регулирования и надзора в отрасли. Новые законодательные инициативы, такие как Закон о киберустойчивости (CRA), директива RED 3.3 и директива NIS2, могут помочь повысить ответственность разработчиков ПО и ограничить доступ небезопасных продуктов на голландский рынок.

Представители регулирующих органов подтверждают, что новое законодательство поможет эффективнее бороться с небезопасным оборудованием, включая приложения и облачные сервисы. Аналогичные меры планируется применить и к операторам зарядных станций для электромобилей.

Эксперты подчёркивают необходимость чёткого распределения обязанностей между всеми участниками рынка. Работа этических хакеров, выявляющих уязвимости, безусловно заслуживает похвалы, но полагаться исключительно на их добрую волю в вопросах кибербезопасности недопустимо.