As gigantescas usinas desreguladas na nuvem

 (berthub.eu)
1 pontos por GN⁺ 2024-08-20 | 1 comentários | Compartilhar no WhatsApp
  • Recentemente, hackers holandeses conseguiram controlar a instalação de 4 milhões de painéis solares. Não foi a primeira vez.
  • A maioria dos painéis solares de consumidores e empresas é gerenciada centralmente por um pequeno número de empresas.
  • Só na Holanda, esses painéis solares geram uma potência equivalente a pelo menos 25 usinas nucleares de porte médio.
  • Na Europa, quase não existem regras ou leis que regulem esses administradores centrais.
  • Essas plataformas de gerenciamento baseadas em nuvem podem desligar todos os painéis solares ao mesmo tempo por causa de invasões ou acidentes.
  • Segundo confirmações recentes de hackers éticos e da operadora da rede elétrica holandesa TenneT, isso não é um cenário teórico.
  • Um painel solar individual não causa grandes danos, mas, com o tempo, o número de instalações aumentou muito e a gestão ficou concentrada em poucos lugares.
  • É preciso eliminar a capacidade de cortar gigawatts de energia de forma centralizada ou regular os administradores centrais como empresas de energia.
  • Na Holanda, 15 GW de energia estão sendo controlados remotamente, e não se sabe exatamente quem controla isso.
  • A futura diretiva europeia NIS2 oferece uma oportunidade de melhoria, mas isso precisa ser explicitado.
  • A SolarPower Europe também pede que as regras da NIS2 sejam aplicadas explicitamente à energia solar.

A história mais longa

  • Willem Westerhof vem tentando chamar atenção para esse problema desde 2016.
  • Willem, junto com seu empregador Secura, escreveu um grande relatório para o "Topsector Energie" da Holanda.
  • A rede elétrica sincronizada do continente europeu é uma conquista extraordinária, integrando grande parte da Europa e além.
  • A rede elétrica precisa permanecer sempre em equilíbrio. Se energia demais entrar na rede, a frequência sobe e pode haver sobretensão.
  • Recentemente, houve apagões internacionais na Albânia, Montenegro, Bósnia e Croácia.
  • Grandes fornecedores de energia estão sujeitos a padrões elevados. Suas usinas são monitoradas, seus equipamentos precisam cumprir muitos requisitos e seus funcionários devem ter as certificações adequadas.
  • As redes e os fornecedores europeus cooperam continuamente para manter a rede estável e segura.

O que regulamos

  • Os painéis solares são conectados à rede por meio de inversores. Esse dispositivo converte a energia dos painéis em uma forma que a rede elétrica consegue processar.
  • Esse dispositivo precisa cumprir regras e, na Holanda, só é permitido instalar inversores aprovados pela Synergrid, da Bélgica.

O que não regulamos

  • A maioria dos inversores está conectada à internet. Essa configuração cria uma conexão com o fabricante e envia estatísticas sobre os painéis solares e a produção de energia.
  • O dono dos painéis pode se conectar ao fabricante por meio de um app ou site.
  • O fabricante pode ligar e desligar todos os painéis e instalar novo software nos inversores.
  • Se o fabricante for invadido, um atacante pode enviar aos inversores uma atualização de software maliciosa sob seu controle.

Então, o que acontece?

  • A rede elétrica é extremamente sensível. Exatamente a mesma quantidade de energia precisa entrar e sair.
  • Fabricantes de painéis solares e inversores podem ligar e desligar milhões de instalações.
  • Os hackers éticos holandeses Wietse Boonstra e Hidde Smit conseguiram modificar o software de instalações de painéis solares sem autorização do fabricante.

Ah, não

  • Se existisse um painel de controle capaz de desligar dezenas de reatores nucleares ao mesmo tempo, ele teria de cumprir todo tipo de regra de segurança.
  • Painéis solares residenciais e inversores são considerados eletrodomésticos "comuns", sem inspeções nem legislação específica.
  • A gestão ficou concentrada em poucos fornecedores, que não são regulados com rigor.

E agora?

  • Um relatório recente da Secura, encomendado pelo Topsector Energie da Holanda, é muito útil para entender o quão grave é a situação.
  • Novas leis estão surgindo, e a NIS2 e o Cyber Resilience Act podem sujeitar essas partes a regras mais rígidas.
  • A SolarPower Europe também defende que as partes responsáveis pela gestão centralizada sejam incluídas no escopo da NIS2.

Resumo do GN⁺

  • Este artigo explica como a gestão centralizada de painéis solares pode representar um grande risco para a rede elétrica europeia.
  • Ele destaca a gravidade do problema pelo fato de quase não haver regulação sobre os administradores centrais.
  • Novas leis, como a NIS2 e o Cyber Resilience Act, podem ajudar a resolver essa questão.
  • O artigo enfatiza a importância da gestão de energia e dos problemas de segurança, oferecendo informações importantes para profissionais do setor.
  • Produtos ou projetos com funções semelhantes incluem SolarEdge e Enphase Energy.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-08-20
Comentários do Hacker News

  • A alegação de que os painéis solares na Holanda geram uma potência equivalente a 25 usinas nucleares de porte médio é exagerada

    • Ao observar os dados reais de produção anual de energia, isso equivale a cerca de 1,5 vez a de uma usina nuclear média
    • A potência varia bastante dependendo da localização dos painéis solares

  • Proprietários de painéis e inversores podem se conectar ao fabricante para verificar o estado dos painéis

    • Tecnicamente, não havia necessidade de fazer tudo passar pelos servidores do fabricante
    • Essa escolha foi feita porque consumidores ou instaladores não têm conhecimento especializado sobre configuração de rede

  • Um usuário que vive off-grid reclama que o monitoramento do inversor só é possível online

    • Resolveu o problema usando um Raspberry Pi, mas ao cortar a conexão com a internet uma nova rede é criada
    • Está considerando remover o módulo WiFi

  • Há um comentário de que é preciso ter cuidado com políticos e não técnicos quando falam de padrões técnicos

    • Os problemas atuais da infraestrutura de TI são causados principalmente por pessoas com diploma
    • Fazer as empresas serem responsabilizadas pode ser o começo da solução
    • Por exemplo, se empresas como a CrowdStrike fossem legalmente responsabilizadas, outras empresas também poderiam mudar

  • Há a afirmação de que a energia renovável tem potencial para geração distribuída de eletricidade

    • No entanto, ela também cria problemas de segurança ao introduzir novos pontos de gargalo

  • Há uma pergunta sobre a existência de regulamentação de cibersegurança para usinas elétricas na UE

    • Sistemas que exigem conexão de dados com terceiros não seriam permitidos
    • Houve muitos casos de falha de vários serviços

  • Um instalador tem dificuldade para desconectar inversores Solaredge da nuvem

    • Defende que deveria haver regulamentação proibindo gerenciamento remoto
    • Os dados deveriam poder ser verificados remotamente apenas em modo somente leitura

  • Na Europa, há uma tendência de enfatizar diplomas e certificações para mitigar riscos

    • Isso se adequa a setores que se movem lentamente, mas não à indústria solar/eólica

  • A conexão em nuvem dos produtos Victron é opcional e vem desativada por padrão

    • O hardware é modular e o software é superior ao dos concorrentes
    • É preciso escolher fornecedores responsáveis

  • Se é possível desligar painéis solares, surge a pergunta de por que a concessionária teria de vender o excedente de energia com prejuízo

    • Pergunta-se por que não se pode instruir fazendas solares a reduzir a produção conforme necessário