Καθώς η ηλιακή ενέργεια καθίσταται στρατηγικός πυλώνας της ενεργειακής μετάβασης στην Ευρώπη, αναδύεται μια άλλη, λιγότερο ορατή αλλά εξίσου κρίσιμη πρόκληση: η κυβερνοασφάλεια των φωτοβολταϊκών εγκαταστάσεων.
Μια έκθεση που δημοσιεύθηκε από τον οργανισμό SolarPower Europe, σε συνεργασία με την DNV και το European Inverter Forum, αναδεικνύει ανησυχητικά κενά στην ψηφιακή ασφάλεια του κλάδου. Η έκθεση διατυπώνει σαφώς ότι οι «έξυπνοι» μετατροπείς, βασικό εξάρτημα των ηλιακών εγκαταστάσεων, αποτελούν ευάλωτη πύλη για ολοένα και πιο εξελιγμένες κυβερνοεπιθέσεις.
Σε αντίθεση με τις παραδοσιακές ενεργειακές υποδομές, οι ηλιακοί μετατροπείς σχεδιάζονται και χρησιμοποιούνται συχνά ως συνδεδεμένες συσκευές. Είναι απομακρυσμένα προσβάσιμοι από πολλούς εμπλεκόμενους στη διαχείριση της εγκατάστασης: κατασκευαστές, εγκαταστάτες, διαχειριστές ενέργειας, διαχειριστές δικτύων κ.ά. Πληροφορίες, δεδομένα και συγκεκριμένες λειτουργίες φιλοξενούνται σε διαδικτυακές πλατφόρμες, βασισμένες σε υπηρεσίες cloud. Ο αυξανόμενος αριθμός εμπλεκόμενων με άμεση ή έμμεση πρόσβαση στους μετατροπείς αυξάνει τον κίνδυνο παραβιάσεων ασφαλείας. Ο ταχύτατα αναπτυσσόμενος αυτός τομέας γίνεται επομένως πρωταρχικός στόχος για επιθέσεις ή άλλες απειλές – ακόμη και φυσικές – όπως ο απομακρυσμένος τερματισμός λειτουργίας ή η διατάραξη της υποδομής.
Παρότι η Ευρωπαϊκή Ένωση έχει ενισχύσει τη σχετική νομοθεσία τα τελευταία χρόνια με την οδηγία NIS2, τον Κανονισμό για την Κυβερνοανθεκτικότητα (Cyber Resilience Act), τον Ευρωπαϊκό Κώδικα Δικτύου για την Κυβερνοασφάλεια (NCCS) ή τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR), οι κανονισμοί αυτοί απευθύνονται σε όλες τις κρίσιμες υποδομές και δεν καλύπτουν πάντα τις ιδιαίτερες ανάγκες της ηλιακής ενέργειας. Για παράδειγμα, οι μικρές οικιακές ή εμπορικές φωτοβολταϊκές εγκαταστάσεις συχνά εξαιρούνται από τα κατώτατα όρια που ορίζουν οι κανονισμοί. Επιπλέον, η έλλειψη ενός μοναδικού φορέα υπεύθυνου για την ασφάλεια καθιστά δύσκολη την εφαρμογή αυστηρών προτύπων σε κάθε έργο.
Ενώ σχεδόν το 70% των οικιακών και εμπορικών εγκαταστάσεων είναι πλέον συνδεδεμένες στο διαδίκτυο, η γνώση των εγκαταστατών και παρόχων υπηρεσιών σε θέματα κυβερνοασφάλειας παραμένει περιορισμένη σε σχέση με την πολυπλοκότητα των πιθανών επιθέσεων. Κακές πρακτικές όπως προεπιλεγμένοι κωδικοί πρόσβασης, απουσία firewalls και μη ασφαλείς ρυθμίσεις είναι συχνές. Κακώς ενημερωμένοι τελικοί χρήστες συχνά αγνοούν τους κινδύνους από την απομακρυσμένη πρόσβαση ή την αποθήκευση δεδομένων σε κέντρα δεδομένων εκτός ΕΕ, μερικές φορές σε περιοχές με χαμηλότερο επίπεδο προστασίας.
Η κατάσταση γίνεται ακόμη πιο ανησυχητική αν αναλογιστεί κανείς την κλίμακα των δυνατοτήτων που εμπλέκονται. Το 2023, επτά κατασκευαστές μετατροπέων είχαν τη δυνατότητα να επηρεάσουν απομακρυσμένα περισσότερα από 10 GW εγκατεστημένης ισχύος ο καθένας. Η παραβίαση ενός μόνο από αυτούς θα μπορούσε δυνητικά να επηρεάσει τη σταθερότητα του ευρωπαϊκού ηλεκτρικού δικτύου. Ευαίσθητα δεδομένα, είτε σε πραγματικό χρόνο είτε προσωπικά στοιχεία χρηστών, κινδυνεύουν επίσης από κατασκοπεία ή σαμποτάζ — ειδικά όταν οι διακομιστές φιλοξενούνται εκτός ΕΕ.
Απέναντι σε αυτές τις διαπιστώσεις, ο οργανισμός SolarPower Europe υποστηρίζει την υιοθέτηση ενός «εναρμονισμένου πλαισίου κυβερνοασφάλειας για τα φωτοβολταϊκά», ιδιαίτερα για τους έξυπνους μετατροπείς. Η έκθεση τονίζει την ανάγκη να αξιολογούνται τα αποκεντρωμένα φωτοβολταϊκά συστήματα με βάση το πραγματικό επίπεδο κινδύνου, να οριστεί σαφής διακυβέρνηση της ασφάλειας καθ’ όλη τη διάρκεια ζωής των εγκαταστάσεων. Παράλληλα, τονίζει την ανάγκη να ενισχυθεί η ευαισθητοποίηση των καταναλωτών και να προωθηθούν συστήματα με ασφαλείς προεπιλεγμένες ρυθμίσεις και να καλυφθεί η έλλειψη ενιαίου ευρωπαϊκού προτύπου για ολόκληρο το αποκεντρωμένο σύστημα, συμπεριλαμβανομένης της ψηφιακής του υποδομής.
