Förnybar energi är avgörande för att nå noll nettoutsläpp, men den växande användningen av sol- och vindkraft skapar helt nya cybersäkerhetsutmaningar.
Med miljontals internetanslutna komponenter ökar sårbarheterna – och riskerna för allvarliga cyberattacker – vilket ökar behovet av cybersäkerhetslösningar för att säkerställa framtida energisäkerhet.
– Cybersäkerhet bör vara en standard, inte ett alternativ, för att säkra vår växande infrastruktur för solenergi, säger Michal Marona, regionchef för Polen, Norden och Baltikum på SolarEdge Technologies en branschledare inom solenergi som tar säkerhetsutmaningarna på allvar.
Den snabba övergången till förnybar energi förändrar riskbilden för kraftnät. Decentraliserade system för solkraft är mer sårbara för cyberattacker än traditionella energikällor.
Stora energianläggningar som gas- och kärnkraftverk har länge skyddats genom rigorösa regler för cybersäkerhet. Nya aktörer i energimixen, som vindkraftsparker till havs och solkraftverk, har i viss mån också varit föremål för liknande regelverk på grund av sin storlek. Men när världen nu övergår till en ännu mer decentraliserad energiinfrastruktur, med miljontals solcellssystem på taken på både hem och företag, där många internetanslutna komponenter är inblandade, var och en med unika sårbarheter uppstår en ny situation.
Cybersäkerhetsutmaningarna i de decentraliserade näten är helt andra än i de stora energianläggningar som har hanterats tidigare.
Nya sårbarheter i det decentraliserade nätverket
Den så kallade PV-växelriktaren, som ofta kallas ”hjärnan” i ett solsystem, ansvarar för att omvandla ström från solpaneler till användbar elektricitet. I både kommersiella solcellsanläggningar och solcellsanläggningar på hustak är växelriktaren direkt ansluten till internet, vilket gör den till den mest utsatta punkten för en cyberattack mot ett solcellssystem, med potentiellt allvarliga konsekvenser.
Genom att skaffa sig administratörsrättigheter kan hackare ta kontroll och styra över en tillverkares installerade solsystem. Med denna åtkomst kan hackaren inaktivera eller skada växelriktare, låsa dem mot lösen eller få åtkomst till känsliga delar av kundens nätverk. För företag kan detta omfatta kundhanteringsdatabaser och finansiella system. Hackare kan också vara intresserade av energiförbrukningsdata, avslöja detaljer om hushållsrutiner eller affärsresultat.
En än mer oroande möjlighet är att hackare kan angripa de centrala servrar som hanterar dessa solcellssystem. Tusentals och ibland miljontals system kan styras från en enda punkt.
– Hackare skulle kunna rikta in sig på dessa servrar och slå ut hela elnätet. Elnät är utformade för att ständigt balansera tillgång och efterfrågan på el. Om det kritiska tröskelvärdet för skillnaden mellan utbud och efterfrågan överskrids kan delar av nätet stängas av i en nödsituation, berättar Uri Sadot, ordförande för SolarPower Europes digitaliseringsgrupp och chef för cybersäkerhetsprogrammet på SolarEdge Technologies.
Experterna är överens om att den energi som produceras av inhemska solcellssystem för länge sedan har överskridit den maximala tröskeln för gapet. Med miljontals solcellsinstallationer över hela världen leder dessa konsekvenser till ökad granskning av cybersäkerheten för solenergi.-
Riktade attacker har redan påbörjats
I maj 2024 efterlyste The European Solar Manufacturing Council (ESMC) större ansträngningar för att skärpa cybersäkerheten för växelriktare. På liknande sätt meddelade Vangelis Stykas – en ”etisk hackare” som har riktat in sig på att avslöja cyberbrister så att de kan åtgärdas – att han med hjälp av en mobiltelefon och en bärbar dator hade fått fullständig fjärråtkomst till solcellssystem från sex globala tillverkare av växelriktare.
Det gav honom tillgång till en samlad effekt på över tre gånger hela det tyska elnätet. Även om ingen av hackarna attackerade elnätet hade de tillgång till betydande mängder ström som kunde ha använts för att orsaka omfattande strömavbrott.
I augusti hackades ytterligare två solenergiföretag av den välkända cybersäkerhetsledaren Bitdefender, vilket gav dem tillgång till 195 GW solenergi – 20 procent av den globala solenergiproduktionen3 . Den holländska gruppen för etisk hackning, DIVD, avslöjade sex nya sårbarheter i cybersäkerheten för en stor tillverkare av växelriktare för solenergi, vilket innebar att fyra miljoner system i över 150 länder exponerades.
Men inte alla hackningar på solsystem var godartade. I början av februari 2024 fick en rysk cyberkriminell grupp tillgång till det litauiska elbolaget Ignitis. Hackarna tillhandahöll videobevis på att de stängde av användarkonton och krävde lösensumma för att upphöra med sina attacker. De gjorde detta genom att rikta in sig på mjukvara för övervakning av solenergi och genom att få tillgång till data från 22 anläggningar, däribland sjukhus och militärakademier.
En annan illvillig cyberattack i världen som skapat rubriker ägde rum i Japan. Hackare kapade 800 japanska fjärrövervakningsenheter för solenergi och utnyttjade dem för att stjäla bankkonton. Till skillnad från de flesta sårbarheter går den här inte att åtgärda eftersom det inte finns någon mekanism för fjärruppdatering, vilket innebär att sårbarheten är permanent.
DERSec är ett cybersäkerhetsföretag som nyligen publicerade en genomgång av 54 cyberattacker och sårbarheter inom solenergi på system av konsumenter. I rapporten konstateras att den ökande trenden med cyberattacker sannolikt kommer att fortsätta, eftersom hotaktörer försöker tränga in i och störa kritisk infrastruktur runt om i världen.
Detta har lett till ett uppvaknande bland branschorgan och regeringar, vilket ger bevis för att cybersäkerhetsriskerna med solenergi är högst verkliga.
Responsen från branschorganisationer och regeringar
Mot bakgrund av dessa händelser uttalade SolarPower Europe, den ledande solenergiorganisationen i Europa, nyligen att EU måste agera för att genomdriva höga standarder för cybersäkerhet för tillverkare av växelriktare för solenergi för att skydda energisäkerheten. Samma upprepades av European Solar Manufacturing Council.
I USA varnade FBI också nyligen för att hackare skulle slå till mot kritisk infrastruktur och särskilt mot sårbar förnybar energiförsörjning, med hänvisning till det ökande beroendet av förnybar energi och bristen på tillräckliga protokoll och regler för cybersäkerhet.
Regeringarna ligger nu efter utvecklingen och måste snabbt ta itu med den här frågan. I USA publicerade Vita husets Office of the National Cyber Director (ONCD) nyligen en plan som beskriver de kritiska tekniker som behöver cybersäkerhet i takt med att övergången till ren energi accelererar. Där identifierades specifika produktkategorier, som solcellsväxelriktare och laddare för elbilar, som kräver särskild uppmärksamhet. Även andra aktörer, till exempel den nederländska myndigheten RDI och forskningsföretaget SECURA samt Australian Cybersecurity Cooperative i sin rapport Power Out, har identifierat denna risk.
På vissa områden börjar de första regleringarna av distribuerade energiresurser (DER) ta form. Storbritanniens förordning om smarta laddpunkter kräver exempelvis att inbyggda fördröjningstimers i hårdvaran införlivas i laddare för elbilar för att förhindra massavbrott och ge elnätet tid att anpassa sig om en cyberattack skulle starta. Även om detta kan mildra det värsta scenariot förhindrar det dock inte att DER hackas från första början.
EU-kommissionen försöker åtgärda detta genom mer robusta regler, men för vissa kan det vara för sent. Litauen är ett bra exempel som det första landet som tog saken i egna händer. Strax efter cyberattacken mot det litauiska elbolaget i februari fattade det lokala parlamentet beslut om att förbjuda nationer som klassas som hot mot Litauens nationella säkerhet att få fjärråtkomst till sol-, vind- och lagringsenheter.
Detta innebär att solcellsväxelriktare från länder som enligt litauisk lag anses vara fientliga kommer att förbjudas från och med den 1 maj 2025, och befintliga anläggningar måste koppla bort växelriktare som inte uppfyller kraven vid samma tidpunkt året därpå.
Hur kan vi lösa detta?
I avsaknad av robusta regler måste tillverkare av växelriktare för solenergi inse att de bygger kritisk infrastruktur och behandla den som sådan genom att prioritera investeringar i cybersäkerhetsteknik framför kostnadsbesparingar och högre marginaler, för att bidra till att säkerställa den framtida stabiliteten och säkerheten i solenergiindustrin.
Dessutom måste företag som investerar i solenergi göras medvetna om cyberriskerna och utvärdera olika leverantörers cybersäkerhetsåtgärder för att säkerställa att deras system är säkra. Man kan till exempel ställa frågor till installatören som: Vem har fjärråtkomst till mitt solcellssystem? Var lagras mina data och hur skyddas de? Är det ett varumärke med goda meriter när det gäller cybersäkerhet? Annars kan det hända att du har ett system som inte fungerar eller ett solcellssystem som snart inte uppfyller kraven och som måste bytas ut långt före ROI-perioden.
– I takt med att Sverige fortsätter sin digitala omvandling inom sektorn för förnybar energi blir behovet av rigorösa cybersäkerhetsåtgärder allt viktigare. På SolarEdge strävar vi efter att leda vägen genom att utforma våra produkter så att de uppfyller de högsta cybersäkerhetsstandarderna. Detta tillvägagångssätt är avgörande för att skydda investeringar och säkerställa tillförlitlighet och stabilitet för energiresurser i hela landet. Genom att prioritera cybersäkerhet strävar vi efter att skapa större förtroende och uppmuntra till ökad användning av ren energiteknik, säger Michal Marona.
För att det ska vara möjligt att införa ren energiteknik måste cybersäkerhet integreras från början. Den snabba utbyggnaden av internet för tre decennier sedan medförde betydande cybersäkerhetskompromisser som vi fortfarande betalar för idag. För att inte begå samma misstag som tidigare är lärdomen tydlig: det är bättre att förebygga än att bota.
– På SolarEdge prioriterar vi den här frågan. Våra produkter, som uppfyller europeiska säkerhetskrav, visar vårt engagemang för att skydda cybersäkerheten för användare av solcellssystem. Den nyligen genomförda omlokaliseringen av produktionen till USA är ytterligare ett steg som stärker teknikens säkerhet och gör att vi kan erbjuda lösningar till konkurrenskraftiga priser, som är i genomsnitt 20 procent lägre, avslutar Michal Marona.
