يصف جيمس شوالتر سيناريو كابوس غير معقول تمامًا إن لم يكن تمامًا. شخص ما يقود إلى منزلك ، ويصدع كلمة مرور Wi-Fi ، ثم يبدأ في العبث مع العاكس الشمسي المثبت بجانب المرآب الخاص بك. يقوم هذا المربع الرمادي المتواضع بتحويل التيار المباشر من لوحات السطح إلى التيار المتناوب الذي يعمل على تشغيل منزلك.
يقول شوالتر: “يجب أن يكون لديك مطارد شمسي” لهذا السيناريو.
لا يعتبر الرئيس التنفيذي لشركة EG4 Electronics ، وهي شركة مقرها في Sulfur Springs ، تكساس ، تسلسل الأحداث المحتملة بشكل خاص. ومع ذلك ، هذا هو السبب في أن شركته وجدت نفسها في دائرة الضوء عندما نشرت وكالة الأمن السيبراني الأمريكية CISA استشارية تفصل عن نقاط الضعف في الأمن في العزف الشمسي من EG4. وأشارت CISA إلى أن العيوب يمكن أن تسمح للمهاجم بإمكانية الوصول إلى نفس الشبكة مثل العاكس المتأثر ورقمه التسلسلي لاعتراض البيانات أو تثبيت البرامج الثابتة الضارة أو الاستيلاء على التحكم في النظام بأكمله.
بالنسبة إلى ما يقرب من 55000 عميل يمتلكون نموذج العاكس المتأثر في EG4 ، ربما شعرت الحلقة بأنها مقدمة مقلقة لجهاز يفهمونه قليلاً. ما يتعلمونه هو أن المحولات الشمسية الحديثة لم تعد محولات قوة بسيطة. إنها الآن بمثابة العمود الفقري لتركيبات الطاقة المنزلية ، ومراقبة الأداء ، والتواصل مع شركات المرافق ، وعندما تكون هناك قوة زائدة ، وإطعامها مرة أخرى في الشبكة.
لقد حدث الكثير من هذا دون أن يلاحظ الناس. يلاحظ جاستن باسكالي ، المستشار الرئيسي في Dragos ، وهي شركة الأمن السيبراني المتخصصة في الأنظمة الصناعية: “لا أحد يعرف ما كان الجحيم عاكسًا للطاقة الشمسية قبل خمس سنوات”. “نحن الآن نتحدث عن ذلك على المستوى الوطني والدولي.”
أوجه القصور في الأمن وشكاوى العملاء
تبرز بعض الأرقام الدرجة التي أصبحت بها المنازل الفردية في الولايات المتحدة محطات كهرباء مصغرة. وفقًا لإدارة معلومات الطاقة في الولايات المتحدة ، نمت المنشآت الشمسية الصغيرة على نطاق صغير-في المقام الأول السكنية-أكثر من خمسة أضعاف بين عامي 2014 و 2022. ما كان ذات يوم مقاطعة المدافعين عن المناخ والمتبنين الأوائل أصبحت أكثر سائدة بسبب انخفاض التكاليف ، والحوافز الحكومية ، والوعي المتزايد لتغير المناخ.
حدث TechCrunch
سان فرانسيسكو
|
27-29 أكتوبر ، 2025
يضيف كل تثبيت شمسي عقدة أخرى إلى شبكة توسيع من الأجهزة المترابطة ، كل واحد يساهم في استقلال الطاقة ولكنه أيضًا يصبح نقطة دخول محتملة لشخص ذي نية خبيثة.
عند الضغط على معايير أمن شركته ، يعترف شوالتر بأوجه القصور ، لكنه ينحرف أيضًا. يقول: “هذه ليست مشكلة EG4”. “هذه مشكلة على مستوى الصناعة.” خلال مكالمة تكبير وبعد ذلك ، في صندوق الوارد لهذا المحرر ، ينتج تقريرًا من 14 صفحة فهرسة 88 إفصاحًا لضعف الطاقة الشمسية عبر التطبيقات التجارية والسكنية منذ عام 2019.
ليس كل عملائه – الذين انتقل بعضهم إلى Reddit إلى الشكوى – متعاطفين ، خاصة بالنظر إلى أن CISA الاستشارية كشفت عن عيوب التصميم الأساسية: التواصل بين تطبيقات المراقبة والمزولات التي حدثت في نص عادي غير مشموه ، وتحديثات البرامج الثابتة التي تفتقر إلى عمليات الفحص النزاهة ، وإجراءات المصادقة المريرة.
يقول أحد العملاء للشركة ، الذي طلب التحدث مجهول الهوية: “كانت هذه هفوات أمنية أساسية”. “إضافة إهانة للإصابة” ، يواصل هذا الشخص ، “EG4 لم يكلف نفسه عناء إخطاري أو تقديم التخفيفات المقترحة”.
عندما سئل عن سبب عدم تنبيه EG4 للعملاء على الفور عندما تواصل CISA إلى الشركة ، يطلق عليه Showalter لحظة “حية وتعلم”.
“لأننا قريبون جدًا [to addressing CISA’s concerns] يقول شوالتر: “إنها علاقة إيجابية مع CISA ، كنا سنصل إلى زر” تم القيام به “، ثم ننصح الناس ، لذلك نحن لسنا في منتصف الكعكة التي يتم خبزها”.
وصل TechCrunch إلى CISA في وقت سابق من هذا الأسبوع لمزيد من المعلومات ؛ الوكالة لم تستجب. في استشاريها حول EG4 ، تنص CISA على أنه “لم يتم الإبلاغ عن أي استغلال عام معروف يستهدف على وجه التحديد هذه النقاط الضعيفة إلى CISA في هذا الوقت.”
تثير الروابط مع الصين المخاوف الأمنية
على الرغم من عدم وجود علاقة ، فإن توقيت أزمة العلاقات العامة في EG4 يتزامن مع قلق أوسع بشأن أمان سلسلة التوريد لمعدات الطاقة المتجددة.
في وقت سابق من هذا العام ، قيل إن مسؤولي الطاقة الأمريكيين بدأوا في إعادة تقييم المخاطر التي تشكلها الأجهزة التي صنعت في الصين بعد اكتشاف معدات اتصال غير مفسرة داخل بعض العزف والبطاريات. وفقًا للتحقيق في رويترز ، تم العثور على أجهزة الراديو الخلوية غير الموثقة وأجهزة الاتصال الأخرى في المعدات من العديد من الموردين الصينيين – المكونات التي لم تظهر في قوائم الأجهزة الرسمية.
هذا الاكتشاف المبلغ عنه يحمل وزنًا خاصًا نظرًا لهيمنة الصين في تصنيع الطاقة الشمسية. لاحظت قصة رويترز نفسها أن Huawei هي أكبر مورد في العالم للمزولات ، حيث تمثل 29 ٪ من الشحنات على مستوى العالم في عام 2022 ، تليها أقرانهم الصينيين Sungrow و Ginlong Solis. يرتبط حوالي 200 جيجاوات من طاقة الطاقة الشمسية الأوروبية بالمزولات المصنوعة في الصين ، وهو ما يعادل أكثر من 200 محطة للطاقة النووية.
الآثار الجيوسياسية لم تفلت من الإشعار. أقرت ليتوانيا العام الماضي قانونًا يحظر الوصول الصيني عن بُعد إلى منشآت الطاقة الشمسية والرياح والبطاريات التي تزيد عن 100 كيلووات ، مما يقيد بشكل فعال استخدام المحولات الصينية. يقول شوالتر إن شركته تستجيب لمخاوف العملاء من خلال البدء بالمثل في الابتعاد عن الموردين الصينيين وتجاه المكونات التي تصنعها الشركات في أماكن أخرى ، بما في ذلك ألمانيا.
لكن نقاط الضعف CISA الموصوفة في أنظمة EG4 تثير أسئلة تتجاوز ممارسات أي شركة واحدة أو حيث تقوم بمصادر مكوناتها. تحذر وكالة المعايير الأمريكية NIST من أنه “إذا كنت تتحكم عن بعد عددًا كبيرًا بما يكفي من محولات الطاقة الشمسية المنزلية ، وتفعل شيئًا شريرًا في وقت واحد ، فقد يكون له آثار كارثية على الشبكة لفترة طويلة من الزمن.”
والخبر السار (إذا كان هناك أي) ، هو أنه على الرغم من أنه ممكن من الناحية النظرية ، فإن هذا السيناريو يواجه الكثير من القيود العملية.
يلاحظ Pascale ، الذي يعمل مع المنشآت الشمسية على نطاق المنفعة ، أن المحولات السكنية تخدم في المقام الأول وظيفتين: تحويل الطاقة من المباشر إلى التيار المتناوب ، وتسهيل الاتصال مرة أخرى إلى الشبكة. يتطلب الهجوم الجماعي التنازل عن أعداد هائلة من المنازل الفردية في وقت واحد. (مثل هذه الهجمات ليست مستحيلة ولكن من المرجح أن تتضمن استهداف الشركات المصنعة نفسها ، والتي يتمتع بعضها بالوصول عن بُعد إلى العزف الشمسي لعملائها ، كما يتضح من الباحثين الأمنيين العام الماضي.)
الإطار التنظيمي الذي يحكم المنشآت الكبيرة لا يمتد في الوقت الحالي إلى الأنظمة السكنية. تنطبق معايير حماية البنية التحتية الحرجة لشركة Corporation في أمريكا الشمالية للموثوقية الكهربائية حاليًا فقط على المرافق الأكبر التي تنتج 75 ميجاوات أو أكثر ، مثل المزارع الشمسية.
نظرًا لأن المنشآت السكنية تقع أقل بكثير من هذه العتبات ، فإنها تعمل في منطقة رمادية تنظيمية حيث تظل معايير الأمن السيبراني اقتراحات بدلاً من المتطلبات.
لكن النتيجة النهائية هي أن أمان الآلاف من المنشآت الصغيرة يعتمد إلى حد كبير على تقدير الشركات المصنعة الفردية التي تعمل في فراغ تنظيمي.
فيما يتعلق بمسألة نقل البيانات غير المشفرة ، على سبيل المثال ، وهو أحد الأسباب التي تلقاها EG4 التي تلقت صفعة على يد CISA ، يلاحظ Pascale أنه في البيئات التشغيلية على نطاق المنفعة ، يكون نقل النص العادي شائعًا ومشجعًا أحيانًا لأغراض مراقبة الشبكة.
“عندما تنظر إلى التشفير في بيئة المؤسسة ، لا يُسمح بذلك” ، يوضح. “ولكن عندما تنظر إلى بيئة تشغيلية ، يتم نقل معظم الأشياء في نص عادي.”
بعبارة أخرى ، فإن القلق الحقيقي ليس تهديدًا فوريًا لأصحاب المنازل الأفراد. بدلاً من ذلك ، يرتبط بالضعف الكلي لشبكة متوسعة بسرعة. عندما يتم توزيع شبكة الطاقة بشكل متزايد ، مع تدفق الطاقة من الملايين من المصادر الصغيرة بدلاً من العشرات من المصادر الكبيرة ، يتوسع سطح الهجوم بشكل كبير. يمثل كل العاكس نقطة ضغط محتملة في نظام لم يتم تصميمه مطلقًا لاستيعاب هذا المستوى من التعقيد.
تبنى شوالتر تدخل CISA باعتباره ما يسميه “ترقية الثقة” – فرصة للتمييز بين شركته في سوق مزدحم. يقول إنه منذ يونيو ، عملت EG4 مع الوكالة لمعالجة نقاط الضعف المحددة ، مما يقلل من قائمة أولية من عشرة مخاوف إلى ثلاثة عناصر متبقية تتوقع الشركة حلها بحلول شهر أكتوبر. تضمنت العملية تحديث بروتوكولات نقل البرامج الثابتة ، وتنفيذ التحقق من الهوية الإضافية لمكالمات الدعم الفني ، وإعادة تصميم المصادقة.
ولكن بالنسبة لأولئك مثل عميل EG4 المجهول الذين تحدثوا بإحباطهم بشأن استجابة الشركة ، تسلط الحلقة الضوء على الموقف الغريب الذي يجدهم المتبنون الشمانيون أنفسهم. لقد اشتروا ما فهموه على أنه تقنية صديقة للمناخ ، فقط لاكتشاف أنهم سيصبحون مشاركين غير مقصود في منظر لما يبرزه الأمن السيبراني المعقدة.
