आपला सौर छप्पर हा राष्ट्रीय सुरक्षा प्रश्न कसा बनला

जेम्स शोलेटर संपूर्णपणे निंदनीय भयानक स्वप्न नसल्यास अगदी विशिष्ट वर्णन करते. कोणीतरी आपल्या घराकडे वळते, आपला वाय-फाय संकेतशब्द क्रॅक करतो आणि नंतर आपल्या गॅरेजच्या बाजूला बसविलेल्या सौर इन्व्हर्टरसह गोंधळ घालण्यास प्रारंभ करतो. हा निर्लज्ज राखाडी बॉक्स आपल्या छप्परांच्या पॅनेलमधून थेट करंटला आपल्या घरास सामर्थ्य देणार्‍या वैकल्पिक वर्तमानात रूपांतरित करतो.

“आपल्याकडे सौर स्टॉकर आहे” या परिस्थितीत खेळण्यासाठी आपल्याकडे आहे, असे शोएल्टर म्हणतात, तांत्रिक माहिती आणि आपल्या घरातील उर्जा प्रणाली हॅक करण्याच्या प्रेरणा या दोहोंसह आपल्या ड्राईवेवर शारीरिकरित्या दर्शविण्याची आवश्यकता असलेल्या व्यक्तीचे वर्णन केले.

चे मुख्य कार्यकारी अधिकारी ईजी 4 इलेक्ट्रॉनिक्सटेक्सासच्या सल्फर स्प्रिंग्जमधील कंपनी, या घटनांच्या या अनुक्रमांचा विशेषत: संभाव्यतेचा विचार करत नाही. तरीही, म्हणूनच जेव्हा अमेरिकेच्या सायबरसुरिटी एजन्सी सीआयएसएने गेल्या आठवड्यात त्याच्या कंपनीला स्पॉटलाइटमध्ये सापडले एक सल्लागार प्रकाशित केला ईजी 4 च्या सौर इन्व्हर्टरमध्ये सुरक्षा असुरक्षा तपशीलवार. सीआयएसएने नमूद केले की त्रुटी प्रभावित इन्व्हर्टर आणि त्याच्या अनुक्रमांकात समान नेटवर्कमध्ये प्रवेश असलेल्या हल्लेखोरांना डेटा इंटरसेप्ट करण्यास, दुर्भावनायुक्त फर्मवेअर स्थापित करण्यास किंवा संपूर्ण सिस्टमचे नियंत्रण जप्त करण्यास परवानगी देऊ शकतात.

ईजी 4 च्या प्रभावित इन्व्हर्टर मॉडेलच्या मालकीच्या अंदाजे 55,000 ग्राहकांसाठी, या भागाला कदाचित एखाद्या डिव्हाइसची थोडीशी समजूत नसलेली ओळख वाटली. ते जे शिकत आहेत ते म्हणजे आधुनिक सौर इन्व्हर्टर यापुढे साधे पॉवर कन्व्हर्टर नाहीत. ते आता होम एनर्जी इन्स्टॉलेशन्सचा कणा म्हणून काम करतात, कामगिरीचे परीक्षण करतात, युटिलिटी कंपन्यांशी संवाद साधतात आणि जेव्हा जास्त शक्ती असते तेव्हा ते परत ग्रीडमध्ये पोसते.

लोकांकडे लक्ष न देता यापैकी बरेच काही घडले आहे. “पाच वर्षांपूर्वी सौर इन्व्हर्टर काय आहे हे कोणालाही माहिती नव्हते,” औद्योगिक प्रणालींमध्ये माहिर असलेल्या सायबरसुरिटी फर्म ड्रॅगोस येथील मुख्य सल्लागार जस्टिन पास्केल यांचे म्हणणे आहे. “आता आम्ही याबद्दल राष्ट्रीय आणि आंतरराष्ट्रीय स्तरावर बोलत आहोत.”

सुरक्षा कमतरता आणि ग्राहकांच्या तक्रारी

काही संख्या अमेरिकेतील वैयक्तिक घरे लघु उर्जा प्रकल्प बनत आहेत याची काही संख्या अधोरेखित करते. यूएस ऊर्जा माहिती प्रशासनाच्या मते, लघु-सौर स्थापना-प्रामुख्याने निवासी-वाढली पाच पटीपेक्षा जास्त २०१ and ते २०२२ दरम्यान. एकेकाळी हवामानातील वकिलांचा प्रांत आणि लवकर दत्तक घेणारे प्रांतातील घसरण खर्च, सरकारी प्रोत्साहन आणि हवामान बदलांविषयी वाढती जागरूकता यामुळे मुख्य प्रवाहात अधिक मुख्य प्रवाहात बनले.

प्रत्येक सौर स्थापना परस्पर जोडलेल्या उपकरणांच्या विस्तारित नेटवर्कमध्ये आणखी एक नोड जोडते, प्रत्येकजण ऊर्जा स्वातंत्र्यास योगदान देतो परंतु दुर्भावनायुक्त हेतू असलेल्या एखाद्यासाठी संभाव्य प्रवेश बिंदू बनतो.

जेव्हा त्याच्या कंपनीच्या सुरक्षा मानदंडांबद्दल दबाव आणला जातो तेव्हा शोलेटरने त्याच्या उणीवा कबूल केल्या, परंतु तोही निराश करतो. ते म्हणतात, “ही ईजी 4 समस्या नाही. “ही एक उद्योग-व्यापी समस्या आहे.” झूम कॉलवर आणि नंतर, या संपादकाच्या इनबॉक्समध्ये, तो ए तयार करतो 14 पृष्ठांचा अहवाल 2019 पासून व्यावसायिक आणि निवासी अनुप्रयोगांमध्ये 88 सौर उर्जा असुरक्षा प्रकटीकरण कॅटलॉगिंग.

त्याचे सर्व ग्राहक नाहीत – ज्यांपैकी काही रेडडिटला घेतले तक्रार करण्यासाठी – सहानुभूतीशील आहे, विशेषत: सीआयएसएच्या सल्लागाराने मूलभूत डिझाइनमधील त्रुटी उघडकीस आणल्या: मॉनिटरींग अनुप्रयोग आणि अखंडता तपासणीचा अभाव असलेल्या फर्मवेअर अद्यतनांमध्ये मॉनिटरींग अनुप्रयोग आणि इन्व्हर्टर दरम्यान संप्रेषण.

“हे मूलभूत सुरक्षा चुकले होते,” असे कंपनीच्या एका ग्राहक म्हणतात, ज्याने अज्ञातपणे बोलण्यास सांगितले. या व्यक्तीने पुढे म्हटले आहे की, “दुखापतीचा अपमान जोडणे, ईजी 4 मला सूचित करण्यास किंवा सुचविलेल्या शमन ऑफर करण्यासही त्रास देत नाही.”

जेव्हा सीआयएसए कंपनीकडे पोहोचला तेव्हा ईजी 4 ग्राहकांना ताबडतोब का सतर्क केले नाही असे विचारले असता, शोलेटर त्यास “लाइव्ह अँड लर्न” क्षण म्हणतो.

“कारण आम्ही इतके जवळ आहोत (सीआयएसएच्या चिंतेचे निराकरण करण्यासाठी) आणि हे सीआयएसएशी इतके सकारात्मक संबंध आहे, आम्ही 'पूर्ण केलेल्या' बटणावर जात आहोत आणि मग लोकांना सल्ला देणार आहोत, म्हणून आम्ही केकच्या मध्यभागी नाही,” शोलेटर म्हणतात.

अधिक माहितीसाठी या आठवड्याच्या सुरूवातीला सीआयएसएकडे वाचा; एजन्सीने प्रतिसाद दिला नाही. ईजी 4 विषयीच्या सल्ल्यानुसार, सीआयएसए नमूद करते की “या असुरक्षांना विशेषत: लक्ष्यित करणारे कोणतेही ज्ञात सार्वजनिक शोषण यावेळी सीआयएसएला कळवले गेले नाही.”

चीनशी कनेक्शन सुरक्षेच्या चिंतेत स्पार्क करा

असंबंधित असताना, ईजी 4 च्या जनसंपर्क संकटाची वेळ नूतनीकरणयोग्य उर्जा उपकरणांच्या पुरवठा साखळीच्या सुरक्षिततेबद्दल व्यापक चिंतेसह होते.

या वर्षाच्या सुरूवातीस, अमेरिकेच्या ऊर्जा अधिका officials ्यांनी काही इन्व्हर्टर आणि बॅटरीमध्ये अस्पष्ट संप्रेषण उपकरणे शोधून काढल्यानंतर चीनमध्ये बनवलेल्या उपकरणांद्वारे उद्भवलेल्या जोखमींचे पुनर्मूल्यांकन करण्यास सुरवात केली. रॉयटर्सच्या तपासणीनुसारएकाधिक चिनी पुरवठादारांच्या उपकरणांमध्ये undocumented सेल्युलर रेडिओ आणि इतर संप्रेषण उपकरणे आढळली – अधिकृत हार्डवेअर याद्यांवर दिसू नयेत असे घटक.

सौर उत्पादनात चीनचे वर्चस्व लक्षात घेता या शोधाच्या शोधात विशिष्ट वजन आहे. त्याच रॉयटर्सच्या कथेने नमूद केले आहे की हुवावे हे जगातील सर्वात मोठे इन्व्हर्टरचे पुरवठादार आहेत, २०२२ मध्ये जागतिक स्तरावर २ %% शिपमेंट आहेत, त्यानंतर चिनी सरदार आणि गिनलॉन्ग सोलिस आहेत. काही युरोपियन सौर उर्जा क्षमता 200 जीडब्ल्यू चीनमध्ये बनविलेल्या इन्व्हर्टरशी जोडलेले आहे, जे अंदाजे 200 हून अधिक अणुऊर्जा प्रकल्पांच्या समतुल्य आहे.

भौगोलिक -राजकीय परिणाम सूचनेपासून वाचले नाहीत. गेल्या वर्षी लिथुआनिया एक कायदा पास केला १०० किलोवॅट्सपेक्षा जास्त सौर, वारा आणि बॅटरी प्रतिष्ठापनांमध्ये रिमोट चिनी प्रवेश अवरोधित करणे, चिनी इन्व्हर्टरच्या वापरास प्रभावीपणे प्रतिबंधित करते. शोएल्टर म्हणतात की त्यांची कंपनी ग्राहकांच्या चिंतेला प्रतिसाद देत आहे, त्याचप्रमाणे चिनी पुरवठादारांपासून दूर जाणे आणि जर्मनीसह इतरत्र कंपन्यांनी बनविलेल्या घटकांकडे.

परंतु ईजी 4 च्या सिस्टममध्ये वर्णन केलेल्या असुरक्षा सीआयएसएने कोणत्याही कंपनीच्या पद्धतींच्या पलीकडे किंवा त्याचे घटक स्रोत असलेल्या प्रश्नांची पूर्तता करणारे प्रश्न उपस्थित करतात. यूएस मानक एजन्सी एनआयएसटी चेतावणी “जर आपण दूरस्थपणे मोठ्या संख्येने होम सोलर इन्व्हर्टरवर नियंत्रण ठेवले आणि एकाच वेळी काहीतरी निंदनीय केले तर दीर्घकाळापर्यंत ग्रीडवर आपत्तीजनक परिणाम होऊ शकतात.”

चांगली बातमी (जर तेथे काही असेल तर), अशी आहे की सैद्धांतिकदृष्ट्या शक्य असताना, या परिस्थितीत बर्‍याच व्यावहारिक मर्यादांचा सामना करावा लागतो.

युटिलिटी-स्केल सौर प्रतिष्ठापनांसह काम करणारे पास्केल यांनी नमूद केले आहे की निवासी इन्व्हर्टर प्रामुख्याने दोन फंक्शन्स देतात: थेट ते पर्यायी करंटमध्ये शक्ती रूपांतरित करणे आणि ग्रीडला परत कनेक्शन सुलभ करणे. मोठ्या प्रमाणात हल्ल्याला एकाच वेळी मोठ्या संख्येने वैयक्तिक घरे तडजोड करण्याची आवश्यकता असते. (असे हल्ले अशक्य नाहीत परंतु उत्पादकांना स्वतः लक्ष्यित करण्याची अधिक शक्यता असते, त्यातील काही ग्राहकांच्या सौर इन्व्हर्टरमध्ये दूरस्थ प्रवेश आहे. गेल्या वर्षी सुरक्षा संशोधकांनी पुरावा.)

मोठ्या प्रतिष्ठानांवर नियंत्रण ठेवणारी नियामक चौकट सध्या निवासी प्रणालीपर्यंत वाढत नाही. उत्तर अमेरिकन इलेक्ट्रिक रिलायबिलिटी कॉर्पोरेशनचे गंभीर पायाभूत सुविधा संरक्षण मानक सध्या अर्ज करा केवळ सौर फार्मसारख्या 75 मेगावाट किंवा त्याहून अधिक मोठ्या सुविधा.

निवासी प्रतिष्ठान या उंबरठ्यांपेक्षा खाली पडत असल्याने, ते नियामक राखाडी झोनमध्ये कार्य करतात जिथे सायबरसुरक्षा मानके आवश्यकतेपेक्षा सूचना असतात.

परंतु शेवटचा परिणाम असा आहे की हजारो लहान प्रतिष्ठानांची सुरक्षा मुख्यत्वे नियामक व्हॅक्यूममध्ये कार्यरत असलेल्या वैयक्तिक उत्पादकांच्या निर्णयावर अवलंबून असते.

नकळत डेटा ट्रान्समिशनच्या मुद्दय़ावर, उदाहरणार्थ, ईजी 4 ने सीआयएसएकडून थप्पड मारली, पास्केलने नमूद केले आहे की युटिलिटी-स्केल ऑपरेशनल वातावरणात, साधा मजकूर प्रसारण सामान्य आहे आणि कधीकधी नेटवर्क देखरेखीच्या उद्देशाने प्रोत्साहित केले जाते.

ते म्हणतात: “जेव्हा आपण एंटरप्राइझ वातावरणात कूटबद्धीकरण पाहता तेव्हा त्यास परवानगी नसते,” ते स्पष्ट करतात. “परंतु जेव्हा आपण ऑपरेशनल वातावरणाकडे पाहता तेव्हा बर्‍याच गोष्टी साध्या मजकूरात प्रसारित केल्या जातात.”

आणखी एक मार्ग सांगा, वास्तविक चिंता वैयक्तिक घरमालकांना त्वरित धोका नाही. त्याऐवजी ते वेगाने विस्तारणार्‍या नेटवर्कच्या एकूण असुरक्षिततेशी जोडते. डझनभर मोठ्या लोकांऐवजी लाखो लहान स्त्रोतांमधून उर्जा वाढत असताना उर्जा ग्रीड वाढत्या प्रमाणात वितरित होत असताना, हल्ल्याची पृष्ठभाग वेगाने वाढते. प्रत्येक इन्व्हर्टर अशा सिस्टममधील संभाव्य प्रेशर पॉईंटचे प्रतिनिधित्व करतो जो या जटिलतेच्या या पातळीवर कधीही डिझाइन केलेला नव्हता.

शोएल्टरने सीआयएसएच्या हस्तक्षेपाला “ट्रस्ट अपग्रेड” म्हणून ओळखले आहे – गर्दीच्या बाजारात त्याच्या कंपनीला वेगळे करण्याची संधी. ते म्हणतात की जूनपासून, ईजी 4 ने एजन्सीबरोबर ओळखल्या गेलेल्या असुरक्षा सोडविण्यासाठी एजन्सीबरोबर काम केले आहे, ज्यामुळे कंपनीने ऑक्टोबरपर्यंत सोडवण्याची अपेक्षा असलेल्या तीन उर्वरित वस्तूंच्या दहा चिंतेची प्रारंभिक यादी कमी केली. प्रक्रियेमध्ये फर्मवेअर ट्रान्समिशन प्रोटोकॉल अद्ययावत करणे, तांत्रिक समर्थन कॉलसाठी अतिरिक्त ओळख सत्यापन लागू करणे आणि प्रमाणीकरण प्रक्रियेचे पुन्हा डिझाइन करणे समाविष्ट आहे.

परंतु अज्ञात ईजी 4 ग्राहकांसारख्या लोकांसाठी ज्यांनी कंपनीच्या प्रतिसादाबद्दल निराशेने बोलले, या भागामध्ये सौर दत्तक घेणा the ्या विचित्र स्थिती अधोरेखित करते. त्यांनी हवामान-अनुकूल तंत्रज्ञानाचे जे समजले ते त्यांनी विकत घेतले, केवळ काही पूर्णपणे समजल्या गेलेल्या सायबरसुरिटी लँडस्केपमध्ये ते अवांछित सहभागी झाले आहेत हे शोधण्यासाठी.