Cybersecurity, inverter cinesi sotto accusa: “Dispositivi di comunicazione nascosti”
Dispositivi di comunicazione non autorizzati, non elencati nella documentazione del prodotto, e che dunque potrebbero in teoria superare eventuali firewall, sono stati individuati in alcuni inverter per il fotovoltaico Made in China da esperti statunitensi che li hanno smontati per verificarne la sicurezza. La notizia arriva da Reuters, che come fonte cita due funzionari governativi […] The post Cybersecurity, inverter cinesi sotto accusa: “Dispositivi di comunicazione nascosti” first appeared on QualEnergia.it.
Dispositivi di comunicazione non autorizzati, non elencati nella documentazione del prodotto, e che dunque potrebbero in teoria superare eventuali firewall, sono stati individuati in alcuni inverter per il fotovoltaico Made in China da esperti statunitensi che li hanno smontati per verificarne la sicurezza.
La notizia arriva da Reuters, che come fonte cita due funzionari governativi statunitensi anonimi e solleva preoccupazione per la cybersecurity delle reti.
Negli ultimi nove mesi, dispositivi di comunicazione non documentati, tra cui radio cellulari, sono stati trovati anche in alcune batterie di diversi fornitori cinesi, ha affermato uno di loro.
L’utilizzo di dispositivi di comunicazione non autorizzati per aggirare i firewall e disattivare gli inverter da remoto, o modificarne le impostazioni, potrebbe destabilizzare le reti elettriche, danneggiare le infrastrutture energetiche e innescare blackout diffusi, hanno affermato gli esperti.
“Ciò significa che esiste effettivamente un modo integrato per distruggere fisicamente la rete”, secondo uno dei due funzionari sentiti da Reuters.
Le fonti non hanno voluto dare maggiori informazioni né sui marchi e modelli di inverter e batterie in cui si sono trovati i dispositivi di comunicazione fantasma, né su quanti ne abbiano rinvenuti in totale.
I commenti da Washington e la replica della Cina
L’esistenza dei dispositivi di comunicazione non autorizzati non è stata segnalata in precedenza e il governo degli Stati Uniti non ha pubblicamente riconosciuto le scoperte.
“Sappiamo che la Cina ritiene che sia utile mettere a rischio di distruzione o interruzione almeno alcuni elementi della nostra infrastruttura principale”, ha affermato Mike Rogers, ex direttore della National Security Agency statunitense, citato da Reuters. “Credo che i cinesi sperino, in parte, che l’uso diffuso di inverter limiti le opzioni a disposizione dell’Occidente per affrontare la questione della sicurezza”.
Secca, ma poco chiara, la replica dell’ambasciata cinese a Washington: “Ci opponiamo alla generalizzazione del concetto di sicurezza nazionale, che distorce e scredita i risultati infrastrutturali della Cina”.
Richiesto un commento, il Dipartimento dell’Energia degli Stati Uniti (Doe) ha affermato di valutare costantemente i rischi associati alle tecnologie emergenti e che ci sono state significative difficoltà da parte dei produttori nel divulgare e documentare le funzionalità.
“Sebbene questa funzionalità possa non avere intenti dolosi, è fondamentale che chi acquista abbia una piena comprensione delle capacità dei prodotti ricevuti”, ha affermato un portavoce.
Le prime difese Usa
A febbraio due senatori statunitensi hanno presentato il Decoupling from Foreign Adversarial Battery Dependence Act, che vieterebbe al Dipartimento per la Sicurezza Interna di acquistare batterie da alcune entità cinesi, a partire da ottobre 2027, per motivi di sicurezza nazionale.
Sono sei le aziende cinesi che Washington afferma siano strettamente legate al Partito comunista cinese: Catl, Byd Company, Envision Energy, Eve Energy Company, Hithium Energy Storage Technology Company e Gotion High-tech Company.
Anche le imprese di servizi pubblici Usa si stanno ora preparando a divieti simili per i produttori di inverter dal Dragone, come tre persone a conoscenza della questione hanno riferito all’agenzia di stampa.
Alcune utility come Florida Power & Light Company stanno cercando di ridurre al minimo l’uso di inverter cinesi approvvigionandosi di apparecchiature altrove, secondo due fonti a conoscenza della questione.
Dal 2019, ricordiamo, gli USA hanno limitato l’accesso di Huawei alla tecnologia statunitense, accusando l’azienda di attività contrarie alla sicurezza nazionale, accuse che Huawei nega.
Le aziende cinesi sono obbligate per legge a collaborare con le agenzie di intelligence di Pechino, il che conferisce al governo un potenziale controllo sugli inverter di produzione cinese collegati alle reti straniere, secondo gli esperti sentiti da Reuters.
E in Europa?
In Europa esercitare il controllo su soli 3-4 gigawatt di energia potrebbe causare un’interruzione generalizzata della fornitura elettrica, affermano gli esperti citati da Reuters. Secondo l’European Solar Manufacturing Council, oltre 200 GW di capacità da fotovoltaico europea sono collegati a inverter prodotti in Cina.
Nel novembre 2024 la Lituania ha approvato una legge che vieta l’accesso remoto da parte di aziende di paesi considerati minacce alla sicurezza nazionale, inclusa la Cina, ai sistemi di controllo di impianti solari, eolici e di stoccaggio energetico con una capacità superiore a 100 kW.
Di recente Dnv e SolarPower Europe hanno pubblicato un report sul tema in cui si avverte che il framework normativo europeo sulla cybersecurity non si adatta al meglio al fotovoltaico su tetto e alle piccole rinnovabili in generale (si veda Fotovoltaico ed eolico alzano le difese fisiche e informatiche).
Le normative vigenti attribuiscono la responsabilità della sicurezza all’operatore, che a sua volta dovrebbe garantire la sicurezza della catena di approvvigionamento per i propri fornitori di servizi e componenti. E tutto ciò nonostante alcuni impianti siano gestiti da piccoli consumatori e non da operatori professionali come le utility, spiega il rapporto.
Di contro, il rischio è dato dal fatto che la maggior parte degli impianti sui tetti, dal punto di vista delle comunicazioni e della sicurezza informatica, somigliano a dispositivi IoT piuttosto che a un’infrastruttura energetica centralizzata.
Per questo motivo installatori, aggregatori e produttori dispongono sempre più di accesso remoto, ad esempio per abilitare servizi di flessibilità, ma attualmente non sono soggetti ai requisiti tipici degli operatori di infrastrutture critiche.
Ancora, il report spiega che gli inverter su scala residenziale e commerciale sono talvolta connessi direttamente a piattaforme cloud, con Vpn mal configurate o, in alcuni casi, senza protezione dei dati trasmessi.
Problemi si riscontrano anche nelle reti per gli impianti utility scale, che a volte sono prive delle protezioni necessarie, come la segmentazione di rete e i meccanismi di controllo d’accesso.
Le proposte Spe-Dnv
In sintesi, secondo il reporto Spe-Dnv, ad oggi non si può garantire un adeguato livello di sicurezza. Da cui alcune proposte per affrontare la situazione.
Ad esempio, si chiedono “linee guida specifiche per la sicurezza informatica delle infrastrutture fotovoltaiche”, comprendendo anche inverter e sistemi cloud/comunicazione per il monitoraggio e la gestione. Un percorso che, secondo il report, è stato solo parzialmente affrontato con gli standard Iso 27001, Iec 62443 o Ieee 1547.3.
Un ulteriore suggerimento rispecchia appunto la situazione geopolitica che si sta creando nel mondo: “Limitare l’accesso remoto e l’archiviazione dei dati fuori dall’Unione europea, rispecchiando le misure adottate da altri Paesi”. Ciò dovrebbe avvenire aggiornando il Codice di rete per la sicurezza informatica oppure definendo una procedura accelerata UE.
Infine, si ritiene utile redigere una “whitelist” di prodotti per la connessione alla rete con un adeguato processo di certificazione.The post Cybersecurity, inverter cinesi sotto accusa: “Dispositivi di comunicazione nascosti” first appeared on QualEnergia.it.
