Güneş Enerjisi Panelleri: Ulusal Güvenlik Açısından Yeni Bir Sorun Mu?

James Showalter, sıradan bir kabus senaryosunu tasvir ediyor. Birisi, evinize gelir, Wi-Fi şifrenizi çözer ve ardından garajınızın yanındaki güneş inverterine müdahale etmeye başlar. Bu sıradan gri kutu, çatı panellerinizden gelen doğru akımı, evinizi besleyen alternatif akıma dönüştürür.

Showalter, bu senaryonun gerçekleşmesi için “bir güneş takipçisi” olması gerektiğini belirtiyor. Yani, evinize gelerek hem gerekli teknik bilgiye sahip hem de ev enerji sisteminizi hackleme motivasyonuna sahip bir kişinin varlığı gereklidir.

Texas’ın Sulphur Springs kentinde bulunan EG4 Electronics şirketinin CEO’su, bu olay sırasının pek olası olmadığını düşünüyor. Ancak, bu nedenle şirketi geçtiğimiz hafta, ABD siber güvenlik ajansı CISA tarafından EG4’ün güneş inverterlerindeki güvenlik açıklarını detaylandıran bir danışmanlık yayınlandığında dikkatleri üzerine çekti. CISA, bu açıkların, etkilenen bir inverter ile aynı ağa erişimi olan bir saldırganın, verileri ele geçirmesine, kötü amaçlı yazılım yüklemesine veya tüm sistemi kontrol altına almasına imkan tanıyabileceğini belirtti.

EG4’ün etkilenen inverter modeline sahip yaklaşık 55,000 müşteri için, bu durum, pek anlamadıkları bir cihazla tanışmanın rahatsız edici bir başlangıcı oldu. Öğrendikleri ise modern güneş inverterlerinin artık basit enerji dönüştürücüler olmadığı. Bu cihazlar, ev enerji sistemlerinin belkemiğini oluşturmakta, performansı izlemekte, enerji şirketleriyle iletişim kurmakta ve fazla güç olduğunda bu gücü şebekeye geri göndermektedir.

Bu durum, çoğu insan farkında olmadan gerçekleşti. Dragos adlı sanayi sistemlerine odaklanan bir siber güvenlik firmasında baş danışman olan Justin Pascale, “Beş yıl önce kimse güneş inverterinin ne olduğunu bilmiyordu,” diyor. “Şimdi bunu ulusal ve uluslararası düzeyde konuşuyoruz.”

Güvenlik Açıkları ve Müşteri Şikayetleri

Amerika Birleşik Devletleri’ndeki bireysel evlerin, mini enerji santrallerine dönüşme derecesini gösteren bazı rakamlar dikkat çekiyor. ABD Enerji Bilgi İdaresi’ne göre, küçük ölçekli güneş kurulumları – ağırlıklı olarak konutlar – 2014 ile 2022 arasında beş katından fazla arttı. İklim savunucuları ve erken benimseyenlerin alanı, maliyetlerin düşmesi, hükümet teşvikleri ve iklim değişikliği bilincinin artmasıyla daha yaygın hale geldi.

Her bir güneş kurulumunun, enerji bağımsızlığına katkıda bulunan birbirine bağlı cihazlar ağında bir düğüm daha eklediği gibi, kötü niyetli bir girişimci için de potansiyel bir giriş noktası haline geliyor.

Showalter, şirketinin güvenlik standartları konusunda eleştirilere maruz kalıyor, ancak aynı zamanda bu durumu dağıtıyor. “Bu sadece bir EG4 sorunu değil,” diyor. “Bu bir sektör genelinde bir sorun.” Zoom görüşmesi sırasında ve daha sonra bu editörün e-posta kutusunda, 2019’dan bu yana ticari ve konut uygulamalarındaki 88 güneş enerjisi güvenlik açığı bildirimini içeren bir 14 sayfalık rapor sunuyor.

Tüm müşterileri – bazılarının Reddit‘te şikayetlerini dile getirdiği – çok da anlayışlı değil, özellikle de CISA’nın danışmanlığının temel tasarım hatalarını ortaya çıkardığı düşünüldüğünde. İzleme uygulamaları ve inverterler arasındaki iletişimin şifrelenmemiş düz metin halinde gerçekleşmesi, firmware güncellemelerinin bütünlük kontrolleri olmadan yapılması ve basit kimlik doğrulama prosedürleri gibi güvenlik açıkları gündeme gelmiştir.

Bir müşteri, “Bunlar temel güvenlik hatalarıydı,” diyor ve anonim kalmayı talep ediyor. “Ayrıca, EG4 bana hiçbir bilgilendirme yapmadı veya önerilen önlemler sunmadı.”

CISA’nın şirkete ulaştığında neden müşterileri hemen bilgilendirmediği sorulduğunda, Showalter bunu “öğrenme anı” olarak tanımlıyor.

“CISA’nın endişelerini gidermek için çok yakın olduğumuz ve CISA ile olumlu bir ilişkimiz olduğu için, ‘tamam’ butonuna ulaştıktan sonra insanları bilgilendirecektik, böylece pişirme sürecinin ortasında olmadık,” diyor Showalter.

TechCrunch, bu hafta başında CISA ile daha fazla bilgi için iletişime geçti; ajans henüz yanıt vermedi. CISA, EG4 ile ilgili danışmanlığında, “bu açıkları hedef alan bilinen bir kamuya açık istismar bildirilmemiştir” ifadesine yer veriyor.

Çin ile Bağlantılar Güvenlik Endişelerini Artırıyor

EG4’ün kamuoyuyla yaşadığı kriz, yenilenebilir enerji ekipmanlarının tedarik zinciri güvenliği konusundaki daha geniş kaygılarla örtüşüyor. Bu yılın başlarında, ABD enerji yetkililerinin, bazı inverterler ve piller içinde belirsiz iletişim ekipmanları keşfettikten sonra, Çin’de üretilen cihazların oluşturduğu riskleri yeniden değerlendirmeye başladıkları bildirildi. Reuters‘in bir araştırmasına göre, bazı Çinli tedarikçilerden gelen ekipmanlarda resmi donanım listelerinde yer almayan belgelenmemiş hücresel radyolar ve diğer iletişim cihazları bulundu.

Bu durum, Çin’in güneş üretimindeki hakimiyeti göz önüne alındığında özellikle önem taşıyor. Aynı Reuters haberi, Huawei’nin 2022’de dünya genelinde inverter sevkiyatlarının %29’unu karşılayan en büyük inverter tedarikçisi olduğunu belirtiyor. Avrupa güneş enerjisi kapasitesinin yaklaşık 200 GW‘ı, Çin menşeli inverterlerle bağlantılıdır; bu da 200’den fazla nükleer santrale eşdeğer bir miktardır.

Jeopolitik etkiler de göz ardı edilmemiştir. Litvanya, geçtiğimiz yıl, 100 kilowatt’tan büyük güneş, rüzgar ve batarya kurulumlarına uzaktan Çin erişimini engelleyen bir yasa çıkardı; bu da Çin inverterlerinin kullanımını kısıtladı. Showalter, müşteri endişelerine yanıt olarak, benzer şekilde Çinli tedarikçilerden uzaklaşıp Almanya gibi başka ülkelerde üretilen bileşenlere yönelmeye başladıklarını belirtiyor.

Ancak CISA’nın EG4 sistemlerinde tarif ettiği açıklar, tek bir şirketin uygulamalarının ötesinde sorular gündeme getiriyor. ABD standartlar ajansı NIST, “Eğer yeterince sayıda ev güneş inverterini uzaktan kontrol ederseniz ve bir anda kötü bir şey yaparsanız, bu durum şebekeye ciddi etkiler yaratabilir,” şeklinde uyarıyor.

İyi haber, teorik olarak mümkün olsa da, bu senaryonun birçok pratik sınırlaması olduğu. Pascale, konut ölçeğinde güneş kurulumlarıyla çalışırken, ev inverterlerinin esasen iki işlevi olduğunu belirtiyor: doğru akımı alternatif akıma dönüştürmek ve şebekeye bağlantıyı sağlamaktır. Toplu bir saldırı, aynı anda çok sayıda bireysel evi tehlikeye atmayı gerektirecektir. (Bu tür saldırılar imkansız olmasa da, genellikle üreticileri hedef almayı içerecektir; bazıları, müşterilerinin güneş inverterlerine uzaktan erişim sağlamaktadır.)

Büyüklükleri 75 megavat veya daha fazla olan büyük tesislere uygulanan Kuzey Amerika Elektrik Güvenilirlik Kurumu’nun Kritik Altyapı Koruma standartları şu anda konut sistemlerini kapsamamaktadır. Bu nedenle, konut kurulumları, düzenleyici bir gri alanda faaliyet göstererek, siber güvenlik standartlarının öneri niteliğinde kalmasına neden olmaktadır.

Sonuç olarak, on binlerce küçük kurulumun güvenliği, büyük ölçüde, düzenleyici bir boşlukta faaliyet gösteren bireysel üreticilerin takdirine bağlıdır. Örneğin, şifrelenmemiş veri iletimi konusunda, bu durum CISA’nın EG4’e verdiği uyarının bir nedenidir; Pascale, kamu hizmeti ölçeğindeki operasyonel ortamlarda düz metin iletiminin yaygın olduğunu ve bazen ağ izleme amacıyla teşvik edildiğini belirtiyor.

Başka bir deyişle, gerçek endişe, bireysel ev sahiplerine yönelik derhal bir tehdit değildir. Bunun yerine, hızla genişleyen bir ağın toplu savunmasızlığıyla bağlantılıdır. Enerji şebekesi, büyük tesisler yerine milyonlarca küçük kaynaktan güç akışı sağladıkça, saldırı yüzeyi katlanarak genişlemektedir. Her inverter, bu seviyede karmaşıklığı karşılayacak şekilde tasarlanmamış bir sistemde potansiyel bir baskı noktasıdır.

Showalter, CISA’nın müdahalesini bir “güven” yükseltmesi olarak görüyor; kalabalık bir pazarda kendini farklılaştırma fırsatı. Haziran ayından bu yana, EG4, ajansla birlikte belirlenen açıkları gidermek amacıyla çalışıyor ve başlangıçta tespit edilen on sorunu üçe düşürmeyi başardı, bunların Ekim ayına kadar çözüleceğini bekliyor. Bu süreç, firmware iletim protokollerinin güncellenmesi, teknik destek çağrıları için ek kimlik doğrulama uygulanması ve kimlik doğrulama prosedürlerinin yeniden tasarlanmasını içermektedir.

Ancak, tıpkı anonim EG4 müşterisi gibi, şirketin yanıtından hayal kırıklığı duyanlar için bu durum, güneş enerjisi benimseyenlerin bulundukları tuhaf durumu gözler önüne seriyor. İklim dostu teknoloji olarak düşündükleri bir ürünü satın almalarının ardından, karmaşık bir siber güvenlik ortamında istemeden katılımcı haline geldiklerini keşfetmiş oldular.