1 pontos por GN⁺ 2024-08-20 | 1 comentários | Compartilhar no WhatsApp
  • À medida que instalações solares para consumidores e empresas ficam vinculadas às plataformas de gerenciamento em nuvem de um pequeno número de fabricantes, só nos Países Baixos a potência sujeita a controle remoto já equivale a pelo menos 25 usinas nucleares de porte médio
  • Os inversores fazem upload de estatísticas, controle de energia e atualizações de firmware por meio de apps, sites e servidores do fabricante, e esse caminho central cria o risco de paralisação simultânea de milhões de instalações
  • A TSO holandesa TenneT considera que a rede elétrica consegue absorver uma perturbação de 3 GW, mas a capacidade solar instalada nos Países Baixos já passa de 25 GW e um fabricante de inversores controla 195 GW no mundo todo
  • Enquanto há regras para inversores individuais e conexões físicas, os sites centrais de gerenciamento não são tratados como parte da rede elétrica, mas como sites comuns, ficando quase sem a forte supervisão das normas de energia
  • Para que a NIS2 e o Cyber Resilience Act reduzam essa lacuna regulatória, a implementação pelos Estados-membros deve incluir explicitamente grandes gestores de energia solar e permissões de controle remoto e atualização

O risco para a rede elétrica criado pela gestão centralizada da energia solar

  • Recentemente, um hacker holandês conseguiu controlar 4 milhões de instalações de painéis solares, e já houve casos parecidos antes
  • O risco central não está nos painéis solares individuais, mas na estrutura em que inúmeras instalações ficam concentradas nas plataformas centrais de gerenciamento de poucas empresas
  • A geração dos painéis solares nos Países Baixos equivale a pelo menos 25 usinas nucleares de porte médio, mas quase não há leis nem regras na Europa para esses administradores centrais
  • Plataformas de gerenciamento em nuvem podem interromper permanentemente, ao mesmo tempo, milhões de painéis solares por erro, invasão ou ação deliberada, e isso pode levar ao colapso da rede elétrica europeia
  • Por causa da confirmação da operadora de rede holandesa TenneT e das descobertas de hackers éticos, esse cenário não é mera hipótese

O que acontece quando o equilíbrio da rede elétrica se rompe

  • A rede elétrica síncrona continental europeia integra a maior parte da Europa e regiões além dela, permitindo usar em conjunto a capacidade de milhares de grandes usinas e de instalações eólicas e solares
  • Na rede elétrica, a energia que entra e a energia consumida precisam sempre bater exatamente
    • Se entrar energia demais, a frequência sobe e pode haver sobretensão
    • Se faltar energia, a frequência cai
    • Para proteção, partes de um país ou o país inteiro podem ser isolados, e depois a recuperação também pode ser difícil
  • Grandes operadores de geração estão sujeitos a padrões elevados
    • Usinas são monitoradas
    • Equipamentos precisam atender a vários requisitos
    • O pessoal precisa ter qualificações e certificações adequadas
    • É possível investigar incidentes e aplicar multas
  • Em contraste, a gigantesca potência solar europeia agrupada por plataformas centrais de gerenciamento não é regulada no mesmo nível

A área regulada: inversores e conexão física

  • Painéis solares não se conectam diretamente à rede elétrica; no meio há um inversor
    • O inversor converte a energia dos painéis em uma forma que a rede consegue processar
  • Há regras para inversores, por exemplo condições em que a instalação deve se desconectar sozinha quando a rede local está sobrecarregada
    • A regra relacionada é o Artigo 13 do Rules for Generators
  • Os Países Baixos determinaram que só podem ser instalados inversores aprovados pela Synergrid da Bélgica
  • No entanto, segundo pessoas do setor, essa regra não é aplicada e muitos equipamentos estão conectados à rede
  • Como um inversor individual dificilmente consegue causar grande dano à rede elétrica mais ampla, essa parte, isoladamente, é uma área relativamente administrável

A lacuna regulatória: nuvem do fabricante e controle remoto

  • A maioria dos inversores se conecta à internet direta ou indiretamente, se comunica com o fabricante e envia estatísticas sobre os painéis solares e a geração de energia
  • O dono dos painéis verifica o estado deles em um app ou site, passando pelos servidores do fabricante
  • Tecnicamente, não é necessário que todas as funções passem pelos servidores do fabricante, mas muitos dispositivos de consumo são projetados dessa forma
    • Câmeras de vigilância e carros modernos também são exemplos parecidos
  • O app ou site pode não apenas mostrar o estado, mas também ter a função de ligar e desligar os painéis
  • Também é possível instalar novo software/firmware no inversor de forma automática ou manual pelo caminho do fabricante
  • Mesmo que o app do usuário não tenha botão de energia, o controle de energia pode ser suportado por funções destinadas a instaladores ou técnicos de manutenção

Como o controle central pode levar a dano real

  • Como tudo passa pelo fabricante, ele pode ligar ou desligar todos os painéis e também instalar nos inversores software que faça a corrente errada fluir para a rede elétrica
  • Mesmo que o fabricante não faça isso de propósito, só um erro de atualização já pode causar um grande problema
    • A CrowdStrike também instalava software automaticamente, e um erro recente de atualização parou milhões de computadores no mundo todo, com recuperação levando dias e custando bilhões de dólares
  • Se o fabricante for invadido, atualizações maliciosas de software controladas por atacantes podem ser distribuídas para os inversores
  • Os hackers éticos holandeses Wietse Boonstra e Hidde Smit conseguiram modificar o software dentro de instalações de painéis solares sem autorização do fabricante
  • Se o software for alterado dentro da instalação, o dano à rede elétrica pode ser maior e a recuperação pode ser muito mais lenta

A escala supera a capacidade de ajuste da rede

  • Na rede elétrica, há fontes de geração em espera para aumentar ou reduzir energia e assim corrigir desequilíbrios
  • Além de ajustes finos, também existe uma capacidade maior para absorver relativamente rápido eventos como falhas em usinas
  • Fabricantes de inversores solares podem ligar e desligar a energia de milhões de instalações em telhados de residências e empresas
  • A TenneT declarou que a rede elétrica holandesa consegue absorver uma perturbação de 3 GW
  • Nos Países Baixos, há mais de 25 GW de painéis solares instalados, incluindo grandes instalações, muito acima de 3 GW
  • Um fabricante de inversores controla 195 GW no mundo todo, e estima-se que cerca de metade disso esteja na Europa

Lacuna legal e interpretações possíveis

  • Se existisse um painel de controle capaz de desligar ao mesmo tempo dezenas de usinas nucleares, ele seria alvo de regulação de segurança e inspeções, mas inversores residenciais e painéis solares são tratados como dispositivos de consumo comuns
  • Considerando cada instalação individualmente, faz sentido tratá-las como dispositivos de consumo, já que isoladamente é difícil causar grande dano, mas a situação muda quando a gestão fica concentrada em poucos fornecedores
  • O relatório produzido pela Secura para a Topsector Energie dos Países Baixos é um material importante para entender a situação
  • Os painéis no campo precisam seguir regras leves individualmente, mas os sites de gerenciamento dos painéis são tratados não como parte da rede elétrica, e sim como simples sites
  • Também seria possível ver a empresa central de gerenciamento não como uma “administradora de calendário de aniversários”, mas como uma administradora da rede elétrica; porém, para isso talvez fosse necessário ler a legislação existente de forma muito criativa

O papel da NIS2 e do Cyber Resilience Act

  • A nova diretriz da UE, a NIS2, está sendo implementada pelos Estados-membros e inclui energia na categoria de “Very Critical Sectors”
  • Ao implementar a NIS2, os Estados-membros devem deixar explícito que administradores de painéis solares com capacidade de ligar e desligar muitos painéis ou instalar atualizações entram no escopo
  • O Cyber Resilience Act foca em dispositivos como inversores e painéis, mas se esses dispositivos não funcionarem sem um painel central, app ou serviço, eles também podem acabar incluídos
  • A SolarPower Europe entende que, sob os amplos princípios de cibersegurança da NIS2, são necessários requisitos específicos para o setor solar
    • Esses requisitos devem se aplicar a atores que controlam capacidade suficiente para perturbar a rede elétrica
    • O documento relacionado está ligado à posição da SolarPower Europe
  • A SolarPower Europe menciona que Austrália e Alemanha já têm regras, mas afirma que, pelo menos na Austrália, elas não são aplicadas

Alternativas para reduzir a conexão central

  • Painéis solares não precisam necessariamente ficar conectados a uma nuvem central
  • Mesmo sem internet, é possível se conectar diretamente à própria instalação e ver gráficos de geração, e os painéis antigos do autor também forneciam gráficos sem estarem conectados à internet
  • Algo parecido pode ser melhor também para câmeras, máquinas de lavar, bombas de calor, carros e estações de recarga, e baterias residenciais
  • Bombas de calor, carros e estações de recarga, e baterias residenciais também têm capacidade de perturbar a rede elétrica
  • Como etapa intermediária, pode-se exigir que o painel de controle fique limitado a fornecer gráficos e não possa ligar ou desligar remotamente painéis, carregadores ou baterias

É necessária uma regulação explícita em nível da UE

  • Um pequeno número de grandes empresas não pertencentes à UE pode controlar uma parcela significativa do fornecimento de energia, e ainda assim elas não estão sujeitas à legislação de energia
  • Parece difícil encontrar uma solução apenas interpretando a legislação existente
  • A NIS2 e o Cyber Resilience Act são candidatos a impor regras mais rígidas às plataformas centrais de gerenciamento
  • Se a implementação pelos Estados-membros deixar explícito que os agentes de gestão central entram no escopo, haverá menos margem para dúvida
  • A legislação de países individuais pode não ser suficiente para lidar com gigantescas empresas de fora da UE, por isso a cooperação dentro da UE é essencial

1 comentários

 
GN⁺ 2024-08-20
Comentários do Hacker News
  • A afirmação de que os painéis solares dos Países Baixos equivalem a 25 usinas nucleares médias parecia suspeita, então fui verificar: o autor está olhando para a capacidade nominal. É uma métrica quase inútil para uma fonte de energia altamente variável. Um painel solar em um porão sem luz solar tem a mesma capacidade nominal que o mesmo painel instalado no deserto do Saara.
    Se olharmos para a geração anual real, fica mais perto de uma média de 1,5 usina nuclear. Em 2023, a geração solar dos Países Baixos foi de 21 TWh; em 2021, a geração nuclear dos EUA foi de 778 TWh em 54 reatores.
    Isso dá uma noção melhor do risco real. Concordo que a regulação e as práticas de segurança precisam melhorar muito, mas provavelmente seria possível causar um apagão de escala semelhante jogando um caminhão grande contra o poste de transmissão certo.

    • Do ponto de vista de segurança da informação, faz sentido olhar para a capacidade nominal. Afinal, é preciso presumir que um invasor escolherá o pior momento para atacar a rede elétrica. Esse momento é quando há sol forte e céu completamente sem nuvens em toda a rede elétrica-alvo, seja nos Países Baixos, na Califórnia, na Alemanha etc.
      Nesse instante, o invasor não só injeta toda a potência dos painéis solares na rede, como também pode colocar as baterias conectadas em modo de descarga total, usando um novo firmware para contornar as proteções. No pior caso, o invasor pode tentar danificar fisicamente não apenas os inversores, mas também as baterias, os painéis solares, os fusíveis e até as subestações. Se o inversor queimar e pegar fogo, para o invasor isso não é um bug, é uma feature.
      Portanto, não é apenas algo na escala de 25 usinas nucleares médias; na prática, provavelmente é bem maior do que isso, e esse número cresce exponencialmente a cada ano conforme avança a transição para energias renováveis.
      Está entre as divulgações de segurança mais assustadoras que vi recentemente. É muito mais grave do que um zero-day de iPhone.
      Um bug sério no iPhone pode matar algumas pessoas por impedir chamadas de emergência e causar prejuízos econômicos distribuídos de bilhões de dólares pelo mundo. Mas este conjunto de bugs poderia derrubar subestações durante uma onda de calor, causar apagões para milhares a milhões de residências, empresas e fábricas, e matar dezenas de milhares de pessoas. O prejuízo econômico também seria muito maior e provavelmente concentrado em uma região específica.
    • A capacidade nominal dos painéis solares normalmente também é a potência no horário de pico de geração. O momento em que um invasor conseguiria causar o maior impacto desligando todos os inversores ao mesmo tempo é justamente esse.
      Em ataques ou falhas, a métrica importante não é a geração total, mas a potência instantânea. É essa a quantidade que a reserva girante de outras usinas precisa absorver quando uma fonte de geração sai repentinamente do sistema.
    • Para os modos de falha descritos no artigo, o que importa é a potência, não a geração anual. Em termos de potência, é muito comum o pico solar no verão chegar a 20 GW. Por exemplo, basta ver https://energieopwek.nl/ no fim de julho deste ano.
      A potência líquida de Borssele, a usina nuclear média citada no artigo, é de 485 MWe. Então, na prática, faz sentido falar em mais de 25 usinas nucleares médias.
    • Se minha memória não falha — embora esteja meio nebulosa — os EUA tendem a construir reatores absurdamente grandes, enquanto a Europa, por ter um ambiente regulatório mais simples, costuma construir reatores menores e em maior quantidade.
      Além do que outras pessoas disseram, isso também pode gerar uma diferença de cerca de 2x. Como o artigo também falou em “médias”, talvez dê para considerar algo em torno de 3x.
    • Os operadores da rede elétrica não levam em conta a latitude ao definir a potência de pico esperada? Caso contrário, os proprietários acabariam instalando conversores maiores e mais caros do que o necessário, então imagino que eles tenham ao menos uma estimativa aproximada. Seria melhor incluir também o ângulo, mas a latitude por região é um valor muito bem conhecido e fácil de encontrar, então pelo menos isso deve ser considerado.
      Entendo a observação de que não é uma comparação exatamente um para um. Ainda assim, em um dia de verão sem nuvens, excluindo degradação e questões de capacidade, a potência real deve ficar próxima do valor declarado. Os Países Baixos são pequenos, então a chance de o país inteiro ter um dia sem nuvens ao mesmo tempo não é baixa.
      No verão, talvez se conte com uma certa quantidade de sol e se coloque parte da geração a gás usada no inverno em manutenção; ou, no futuro, talvez se parta da premissa de produção de hidrogênio no verão. Dito isso, um ataque hacker provavelmente seria um problema temporário, então não espero grandes problemas nessa parte.
  • Trabalho com sistemas de nuvem para IoT. O motivo de fazer tudo passar pelos servidores do fabricante é que nem consumidores nem instaladores têm qualquer competência para configurar a própria rede ou dispositivos acessíveis externamente. Eles também querem acessar os painéis de fora de casa.
    Eu consigo fazer isso, e a maioria dos leitores do HN também conseguiria, mas consumidores comuns e instaladores não conseguem. É triste, mas é verdade.

    • A nuvem poderia funcionar como um simples relay TURN, apenas retransmitindo tráfego criptografado de ponta a ponta. Assim, o pior que a nuvem poderia fazer seria negar o serviço de gerenciamento remoto; e mesmo nesse caso o gerenciamento local continuaria funcionando. Como ela não teria as chaves de autenticação e criptografia, também não poderia enviar comandos de controle diretamente ao equipamento.
      Do ponto de vista de programação, isso também é mais simples. Não é preciso manter separadamente um protocolo de sincronização com a nuvem e um protocolo de controle local; basta criar um único protocolo local e tunelá-lo por uma nuvem burra apenas quando a conexão direta não for possível.
    • Esses equipamentos ou usinas de geração normalmente são construídos sobre protocolos IEC industriais e controladores SCADA, em um nível muito mais baixo do que aquilo que um provedor de IoT em nuvem oferece.
      Já fiz um controlador para uma bateria em contêiner de 40 pés, e não foi como se eu tivesse recebido uma API de bateria da Hitachi. Tivemos que escrever tudo nós mesmos.
    • Por que não permitir tanto o caminho pela nuvem quanto o caminho de controle local? Quem puder e quiser usar controle local, usa.
    • A pergunta central é por que existe um plano de controle ali para começo de conversa.
      Entendo querer ver dados de medição em tempo real, mas controlar painéis remotamente parece um incidente de segurança anunciado. Fico bem aliviado por usar um inversor que não é conectado à internet.
    • Falando de IoT em geral: eu consigo fazer isso, mas simplesmente não quero. Prefiro gastar esse tempo com outras coisas. É claro que, por um arranjo solar ser uma fonte de energia, aprendi tudo que pude; com outras coisas, não.
  • Tanto em eletricidade quanto em água, vivo fora da rede, e foi realmente irritante descobrir que o monitoramento que veio junto com o inversor só funciona online. Mesmo com uma rede, o app não funciona.
    Resolvi conectando um Raspberry Pi para ler os dados dali, mas, se eu desconecto o inversor da internet, ele cria uma nova rede. Então agora há sempre uma rede pública impossível de desligar, no meio de um lugar isolado onde não há ninguém.
    Estou pensando em abrir e dessoldar o módulo WiFi, mas, como pretendo substituí-lo de qualquer forma em alguns anos, não quero morrer por engano.

    • O lado de alta tensão deve estar separado da eletrônica, então, com cuidado, não deve ser perigoso.
      Talvez baste desconectar a antena do módulo WiFi. Isso ajuda a impedir a conexão de rede.
    • Fiquei curioso para saber qual inversor você usa. Produtos como os da Fronius têm placa de rede removível.
    • Será que não dá simplesmente para fabricar e vender um produto?
  • É preciso tomar cuidado com expressões como “0,002 MW — um pequeno pacote de padrões técnicos, sem necessidade de diploma ou certificação”. Especialmente ao atrair políticos e pessoas não técnicas.
    A atual tragédia da infraestrutura de TI, que beira a negligência criminosa, foi em grande parte criada e impulsionada por pessoas com diploma, incluindo gente formada em universidades de elite. No fim de semana passado, um dos principais posts do HN falava de um conselheiro do governo, ex-executivo de uma das empresas de tecnologia mais famosas, que aconselhou estudantes de Stanford a agir de forma antiética e depois ganhar dinheiro suficiente para contratar advogados e apagar as consequências.
    A maioria das certificações existentes hoje também é de certificação individual e, em geral, está mais para treinamento de fornecedor sem sentido e dependência dele. As mesmas pessoas montam e operam sistemas de fornecedores que beiram a negligência criminosa. As certificações de práticas de TI também parecem mais teatro de compliance, que permite evitar responsabilidade, do que uma garantia real de competência suficiente.
    Para começar a consertar, acho que é preciso responsabilizar as empresas. Por exemplo, a CrowdStrike não é o pior caso, mas é um caso recente. Se isso for tratado como negligência e a empresa for responsabilizada por todos os custos, o preço das ações pode despencar, e a diretoria e o alto escalão da organização deveriam temer a possibilidade de prisão enquanto uma investigação séria estiver em andamento.
    Ao verem que o jogo mudou, investidores e executivos de outras empresas também começarão a alinhar seus interesses. Da próxima vez, toda a estrutura organizacional e as práticas podem ser fortemente abaladas. Porque as empresas vão perceber que precisam acabar com culturas como a troca constante de emprego, o desenvolvimento guiado por currículo, a cultura de clube social do LeetCode e os feudos de loja de fornecedores de TI.
    Algumas empresas podem ficar perdidas e desaparecer. Há gente demais ajustada ao jogo antigo; no novo jogo da responsabilidade, elas podem sentir que não têm outra opção de carreira além de fingir até dar certo e, paradoxalmente, podem acabar arrastando a empresa junto.

    • Punição não é a resposta. Ela só expulsa pessoas competentes do setor. A punição faz com que ninguém admita erros, não corrija erros e encubra erros.
      A punição por erros levou ao desastre de Chernobyl.
    • Em um comentário mais abaixo você falou de alinhamento, mas a essência é que existe uma enorme descontinuidade de mercado entre fazer “a coisa muito, muito certa” e fazer o que é lucrativo. Isso se deve aos efeitos de rede.
      Entre provedores de nuvem/IaaS, parece haver concorrência, porque é preciso de fato construir datacenters e redes, então existe algum piso de preço. Mas, na área de “antivírus”, a CrowdStrike conseguiu praticamente dominar o mercado, e as organizações e clientes a jusante têm dificuldade para justificar procedimentos especiais, como manter backups hot spare realmente independentes ou fazer com que as atualizações de assinaturas da CS passem primeiro por um ambiente de teste.
      Os sintomas culturais descritos em detalhe são mais como uma espuma formada sobre a atividade econômica real oscilando entre vários pontos ótimos de custo-benefício, isto é, uma ineficiência econômica tolerada.
      É muito difícil sair disso. TI, no geral, é padronizada o suficiente para que uma empresa que precise de algum tipo de serviço de TI acabe escolhendo com base no custo e escolhendo aquilo que outras empresas do seu setor escolhem. Mesmo havendo vários provedores, muitas vezes todos acabam convergindo para a mesma tecnologia. Porque é software. Isso reduz o risco financeiro do cliente, mas aumenta o risco real, global e sistêmico.
    • Em outras palavras, é fácil e comum demais que certificações incentivem aprendizado por memorização. É só memorização; o raciocínio de ordem superior não é transmitido.
      Conhecimento sem raciocínio é o caminho para cair na burocracia.
  • Foi um texto revelador. Um dos argumentos a favor das energias renováveis, além da redução de emissões, era o potencial de descentralizar a produção de eletricidade. A ideia era torná-la mais resiliente e democratizar os meios de produção
    Mas este texto mostra que introduzimos, sem querer, um novo gargalo. Considerando até o cenário de segurança global, isso fica ainda mais preocupante

    • É quase igual ao que aconteceu com a internet. A ideia era que “tudo é distribuído”, mas hoje mais de 80% do tráfego passa pela Cloudflare e mais de 90% dos e-mails vêm de 2 provedores
    • Energia solar não é o mesmo que energia renovável
      Renovabilidade e distribuição são eixos diferentes
    • Para começo de conversa, isso nunca fez muito sentido. Seja qual for a tecnologia usada, nada consegue escapar de verdade das economias de escala
    • Energia solar distribuída não consegue fornecer eletricidade em grande escala, e nem mesmo na escala de uma residência é fácil. Para comportar a quantidade necessária de painéis, a casa precisa ter bastante terreno. Uma casa média sempre terá de consumir eletricidade produzida externamente
    • Dependendo de onde você mora, a energia solar abriu um caminho para a semiautonomia, mas as elites detestam muito esse tipo de coisa. Elas não querem cidadãos, querem escravos, e prender pessoas a serviços é uma boa forma de criar escravos incapazes de se rebelar
      Por isso, em vez de impulsionar o autoconsumo e sistemas semiautônomos, empurram conexão à rede elétrica e lixo conectado à nuvem. É para prender você ao serviço de alguém e torná-lo escravo dele. “Em 2030 você não terá nada” já é realidade nos carros modernos. O fabricante tem direitos de acesso muito superiores aos do proprietário formal, fica conectado ao OEM, e o mesmo vale para o IoT moderno e o lixo de nuvem+mobile. As pessoas não entendem que não são donas até ser tarde demais
      Outro exemplo simples: a maioria dos bancos do mundo tem padrões abertos para troca automática de transações interbancárias. Na UE, é a OpenBank API, com feeds XML e JSON assinados. Não há motivo para impedir que o cliente use essas APIs diretamente em um cliente desktop pessoal. Todos os bancos que conheço bloqueiam esse uso. Assim, você não consegue manter em seus próprios equipamentos todo o histórico de transações assinado pelo banco, e não tem nada nas mãos. Se surgir um problema grave, você não tem como provar o que havia no banco nem o que fez com o dinheiro. No passado havia documentos em papel; hoje, XML/JSON assinado, muito mais difícil de falsificar, seria melhor que papel, mas fica de fora porque 99% das pessoas não devem possuir nada
      Também há carros conectados com SIM. Mas, em vez de o carro oferecer diretamente ao proprietário formal uma API e um cliente, ou uma WebUI, tudo precisa passar pelo OEM. Na prática, o dono real é o OEM. Você nem sequer consegue desconectar o carro. Na UE, até desconectar um carro novo é ilegal, porque o serviço de emergência e-call precisa estar ativado em todos os carros novos
      E assim por diante
  • O texto repete que os responsáveis precisam de diplomas, certificações e outros pedaços de papel cerimoniais
    Focar em qualificações formais para reduzir riscos parece uma abordagem muito europeia. Não estou dizendo que esteja errada, só que em outros lugares isso não é enfatizado com tanta força. Parece adequada para setores lentos, com altas expectativas de segurança, mas o mundo da energia solar e eólica não é um setor lento

    • Bom ponto. Talvez haja peso demais em papelada ou em “conformidade mensurável”
      Pela minha experiência na área, o problema real é a falta de percepção e competência técnica que se estenda de forma ampla até o domínio “digital”. Esses produtos costumam ser desenvolvidos por pessoas da área de “energia”, que não necessariamente percebem de imediato que RSA de 512 bits é #badthing e não é suficiente para proteger um sistema de energia agregado controlável a partir de um único ponto
      Não é indispensável ter diploma ou certificação formal para isso. Conhecimento e experiência prática, de quem já pôs a mão na massa, ajudam muito mais
      Quando um produto ganha uma interface de rede ou roda firmware programável, deveriam surgir discussões sobre boot A/B, assinaturas, revogação de chaves e agilidade criptográfica para possibilitar algoritmos criptográficos resistentes a ataques quânticos. Mas, na prática, o foco fica em desenvolver a baixo custo um app mobile controlado pela API de backend do servidor do fornecedor mais barato possível, para colocar o produto rapidamente no mercado
      Nem vamos entrar na mentalidade de sistemas embarcados que não recebem patches nem são mantidos atualizados. Sistemas embarcados ainda hoje são lugares onde você pode encontrar Linux 2.4 ou 2.6. O fornecedor basicamente embarca, quase sem alterações, o código que o fabricante do chipset da CPU entregou como pacote de suporte à placa
      Como você disse, muitos desses problemas parecem ser comerciais e guiados por preço, e é pouco provável que sejam resolvidos com papelada
  • A UE não tem requisitos regulatórios para qualquer tipo de usina elétrica, especialmente relacionados a cibersegurança?
    Em casa e no trabalho, eu não coloco em nenhum ambiente sistemas que exijam funcionalidade de conexão de dados com terceiros
    Houve casos demais em que o lado que exige a conexão — provedor, nuvem etc. — falhou por vários motivos. Por exemplo: Cisco Spark Board, Xerox ConnectKey, Google Cloud Print, dispositivos conectados da WeWork, Lattice Engines, MS Groove Music Pass, Shyp, Adobe Business Catalyst, Samsara, Zune, FuelBand, Anki Vector Robot, Google Stadia, Pebble e outros
    Mesmo assim, acho que é preciso ter muito cuidado ao regular especificamente a energia solar

    • Como seria possível verificar e certificar, na prática, a cibersegurança de um produto? Até smartcards de pagamento às vezes têm backdoors de manutenção não maliciosos. A segurança de software como um todo parece ter pouca ou nenhuma base teórica acadêmica
    • Smartphones são considerados exceção?
  • O instalador colocou um inversor SolarEdge, e deu bastante trabalho fazer os dados irem para o Grafana sem conectá-lo à nuvem. Consegui porque sou engenheiro de redes, mas deveria ser mais fácil
    Concordo que deveria haver uma regulamentação proibindo gerenciamento remoto e permitindo, remotamente, apenas consulta de dados em modo somente leitura. Também daria para praticamente isolar o inversor do gateway de internet com uma conexão RS232 unidirecional, em que o inversor só escreve continuamente. Se o operador da rede elétrica precisar desligar a geração solar, deve instalar um relé controlado pela própria infraestrutura dele

  • O fato de o fabricante permitir instalar automaticamente ou manualmente um novo software no inversor — isto é, firmware — é, como sempre, uma vulnerabilidade ao possibilitar atualizações remotas. Quando as pessoas vão aprender? Atualizações só deveriam ser possíveis quando houvesse um interruptor físico no dispositivo. Não um interruptor de software, mas um interruptor físico. Se estiver “desligado”, nenhuma atualização deveria ser possível
    O vetor de ataque mais destrutivo não é instalar malware remotamente? Com um interruptor de hardware, esse malware não sobreviveria a uma reinicialização do dispositivo
    Lembro da época em que discos rígidos tinham jumpers de permissão de escrita. Depois de fazer um backup, era só remover o jumper, e ficava impossível sobrescrever aquele backup precioso, fosse por acidente ou por má-fé

    • Esse método não impede ataques à cadeia de suprimentos
  • Em resumo, a maioria dos painéis solares de consumidores e empresas é gerenciada centralmente por um pequeno número de empresas, a maioria delas fora da Europa. Só na Holanda, esses painéis solares geram uma potência equivalente a pelo menos 25 usinas nucleares de médio porte. Na Europa, há pouquíssimas regras ou leis para lidar com esses administradores centrais. O mesmo vale para bombas de calor, baterias residenciais e carregadores de VE
    Parece muito com IoT, só que com apostas muito mais altas. Gostei de como este texto mostra bem o problema de confiança entre os inversores e a rede elétrica
    Além de confiar que o inversor do cliente esteja funcionando corretamente, fico me perguntando se há alguma forma de tornar a rede elétrica segura no nível do hardware. Pode ser uma pergunta ingênua, mas os equipamentos da operadora da rede conseguiriam impedir sobrecorrente ou ciclos fora de sincronismo?

    • O fusível da concessionária entre o imóvel e o sistema de distribuição de 240 V deveria impedir sobrecorrente. Se a frequência ou a fase do inversor estiverem erradas, o inversor pode morrer primeiro, a menos que a rede já esteja fora do ar
      Mas há pouquíssimas formas práticas de impedir sobretensão. Por isso, um controlador malicioso que tome conta de todos os sistemas solares de uma rua pode causar danos consideráveis aos aparelhos dos consumidores
      Do ponto de vista da concessionária, o problema é que, mesmo desligando os disjuntores dos dois lados do transformador de distribuição, já não é possível garantir que o lado de distribuição de 240 V seja seguro para trabalho. Portanto, qualquer intervenção no sistema de distribuição de 240 V deve partir do pressuposto de que o sistema está energizado
      No fim, se necessário, a regulamentação será atualizada para lidar com a instalação em massa de sistemas solares em edifícios residenciais